Verhinderung von Passwortänderung unter CentOS 5.2

#1
Hallo,

ich habe bis jetzt immer ein FedoraCore in einem Schüelrcafe aufgestellt gehabt. Dort hatte ich (damit die Kids da nicht das passwort ändern) die Rechte auf die passwd geändert, dass der User das nicht mehr ändern konnte.

Hat auch super geklappt.

Nun habe ich dort auf CentOS 5.2 gewechselt und dort habe ich das dann auch gemacht. Ist auch für die Konsole gut geeignet und funktioniert auch, aber über das Grafische Tool geht das immer noch. Sogar wenn ich die passwd umbenenne oder verschiebe.

Also gehe ich davon aus, dass nicht die passwd genutzt wird dafür.

Wie kann ich jetzt verhinder, dass die Kids das Passwort allezeit ändern?

Danke und Gruß

bikmaek

edit - Rächtsschreibfähler behoben (zumindest ein Paar :) )
 
#2
Passwörter werden im Normalfall in modernen Linux-Systemen in Form der Shadow-Passwörter genutzt. Diese werden verschlüsselt in der /etc/shadow abgelegt. Aus der passwd werden nur UID, Default-Gruppe usw. vom System verwendet.
 
#4
Unter CentOS hast du einerseits die Möglichkeit die Rechte mittels SELinux etwas feiner zu machen, so dass man z.B. einen speziellen Account nutzen muss um Schreibzugriff auf die shadow-Datei zu bekommen, oder du deinstallierst sämtliche Tools ausser 'passwd', mit denen man Passwörter ändern kann. Den Zugriff auf die PAM-Libs, die von dem Programm vermutlich benutzt werden, wirst du jedenfalls nicht komplett unterbinden können, da sonst auch ein Login nicht mehr funktioniert. Alternativ greifst du dir die Source-RPM des Programms und entfernst darin die setuid-Anweisungen, da ja das Ändern von Passwörtern nur mittels setuid(0) machbar ist. Damit ist das Programm nur noch für root brauchbar.
 
Oben