Warum ist das Root-Passwort unter Linux Mint mein Benutzerkennwort?

Ich habe eine Neuinstallation von Linux Mint 18.1 durchgeführt und einen einzelnen Benutzer namens "jack" mit PASSWORD1 als Passwort erstellt. Später habe ich das Passwort (über den grafischen Dialog "Benutzer und Gruppen") in PASSWORD2 geändert. Sowohl für die Anmeldung als auch für die Verwendung ist sudojetzt erwartungsgemäß PASSWORD2 erforderlich.

PASSWORD1 ist jedoch weiterhin das Kennwort für das Konto root. Ich kann da sagen su -und su - rootPASSWORD2 ablehnen, aber PASSWORD1 akzeptieren.

Ist das nicht eine Sicherheitslücke? Warum hat das Root-Konto mein Benutzerkennwort überhaupt stillschweigend kopiert? Wenn ich wüsste, dass mein Passwort kompromittiert und geändert wurde, würde ich nicht prüfen, ob das Root-Konto noch das kompromittierte Passwort verwendet.

Tatsächlich dachte ich, dass das Root-Konto unter Linux Mint standardmäßig deaktiviert ist. Siehe diese Frage zum Beispiel: /superuser/323317/why-does-linux-ubuntu-mint-lack-a-root-account

Gibt es einen Grund, das Root-Konto nicht mit zu deaktivieren sudo passwd -l root? Warum wurde dies nicht standardmäßig durchgeführt?

Bearbeitungen

@terdon Ich bin ziemlich sicher , dass ich nie lief sudo passwdoder auch schlicht passwdauf diesem Betriebssystem.

@Mark Ich habe nachgesehen und das einzige, was zurückkommt, sieht nicht relevant aus.

jack@gamma /var/log $ ls auth.log*
auth.log  auth.log.1  auth.log.2.gz  auth.log.3.gz  auth.log.4.gz

jack@gamma /var/log $ zgrep passwd auth.log*
auth.log.2.gz:Mar  9 17:56:07 gamma mdm[1695]: pam_succeed_if(mdm:auth): requirement "user ingroup nopasswdlogin" not met by user "jack"

jack@gamma /var/log $ zgrep "password changed" auth.log*
# nothing returned

Bearbeiten: Ich habe einen Fehlerbericht bei Linux Mint https://bugs.launchpad.net/linuxmint/+bug/1675575 eingereicht

Nachdem @Roger Lipscombe dieses Problem bestätigt hat, werde ich der Frage ein Kopfgeld hinzufügen.

Neuwertig 17.3

Dies scheint eine bewusste Entscheidung in Linux Mint zu sein. Ich habe Mint 17.3 gerade frisch auf einer VM installiert, und für das Root-Konto ist ein Kennwort festgelegt /etc/shadow. Akzeptiert nach dem Ändern meines Benutzerkennworts su -mein vorheriges Benutzerkennwort.

Ich kann (noch) nicht erklären warum .

Neuwertig 18.3

Ich habe gerade eine Neuinstallation von Mint 18.3 durchgeführt und für mein Root-Konto kein Kennwort festgelegt. sudo grep root /etc/shadowwird !im Passwortfeld angezeigt, was bedeutet, dass das Konto gesperrt ist .

Standardmäßig ist das Root-Passwort Ihr Benutzerpasswort. Ich denke, der Grund dafür ist, dass es ein viel sichererer Ansatz ist, wenn das Passwort von Ihnen festgelegt wird (vorausgesetzt, es ist ein gutes - schwer zu hackendes Passwort) und nicht ein bekanntes Passwort wie "root", das standardmäßig immer vorhanden und über das Internet bekannt ist (Sicherheitsrisiko).

Es gibt eine gute Diskussion über das Thema im linuxmint.com Forum - unter Berufung auf den Benutzer karlchen:

Während der Linux Mint-Installation erstellen Sie Ihr erstes Benutzerkonto. Sie geben diesem ersten Benutzer ein Passwort. Das Installationsprogramm weist dem Benutzerkontostamm unbemerkt dasselbe Kennwort zu. Dies finden Sie auch im offiziellen Linux Mint-Benutzerhandbuch. (vgl. z. B. S. 20) Wenn Sie sich also an Ihr ursprüngliches Benutzerkennwort erinnern, kennen Sie auch Ihr Root-Kennwort. Wenn Sie Ihr Benutzerkennwort später ändern, wird das Root-Kennwort dadurch nicht geändert.

Quelle - Seite 20 letzter Absatz: https://www.linuxmint.com/documentation/user-guide/Cinnamon/english_18.0.pdf

Versuchen Sie, sudo -i zu verwenden, um root mit Ihrem eigenen Passwort zu erhalten