Bug 59397

Summary:

Не даёт менять свой пароль

Product:

Sisyphus

Reporter:

Sergey V Turchin <zerg>

Component:

accountsservice

Assignee:

Alexey Shabalin <shaba>

Status:

CLOSED FIXED

QA Contact:

qa-sisyphus

Severity:

major

Priority:

CC:

armatik, lepata, lepata, rirusha, shaba

Version:

unstable

Hardware:

x86_64

OS:

Linux

Attachments:

Description	Flags
скриншот	none
скриншот авторизации	none

Description Sergey V Turchin 2026-06-02 07:36:23 MSK

Не даёт менять свой пароль даже пользователю группы wheel. Необходимо хотя бы это.

В p11 везде отказываемся от userpasswd, поэтому очень актуально.

Comment 1 Vladimir Romanov 2026-06-02 11:11:17 MSK

# Full System Information

## System
- **ID:** alt-atomic-onyx-nightly
- **Variant:** Default
- **Build:** Default 20260530-nightly
- **Kernel:** 6.18.32-6.18-alt1
- **Architecture:** x86_64
- **Hostname:** alt-atomic
- **Desktop:** GNOME 50.1


Ошибку воспроизвести не смог. Не с пользователем-администратором, ни с обычным пользователем. Везде получилось поменять пароль.

Если пробовать вызвать

gdbus call --system \
  --dest org.freedesktop.Accounts \
  --object-path /org/freedesktop/Accounts/User$USERNAME \
  --method org.freedesktop.Accounts.User.SetPassword \
  "some-new-password" \
  ""

то какой будет вывод?

Comment 2 Sergey V Turchin 2026-06-02 11:44:01 MSK

(Ответ для Vladimir Romanov на комментарий #1)
> - **Hostname:** alt-atomic
Это то причём?
Пробуйте https://beta.altlinux.org/kworkstation/
На Сизифе у меня то же самое.

Comment 3 Sergey V Turchin 2026-06-02 11:46:01 MSK

(Ответ для Vladimir Romanov на комментарий #1)
> gdbus call --system \
>   --dest org.freedesktop.Accounts \
>   --object-path /org/freedesktop/Accounts/User$USERNAME \
>   --method org.freedesktop.Accounts.User.SetPassword \
>   "some-new-password" \
>   ""
> 
> то какой будет вывод?
Ошибка: GDBus.Error:org.freedesktop.DBus.Error.UnknownMethod: Объект по пути «/org/freedesktop/Accounts/User» не существует

Comment 4 Sergey V Turchin 2026-06-02 11:46:25 MSK

Created attachment 21584 [details]
скриншот

Comment 5 Sergey V Turchin 2026-06-02 11:47:48 MSK

(Ответ для Vladimir Romanov на комментарий #1)
> gdbus call --system \
>   --dest org.freedesktop.Accounts \
>   --object-path /org/freedesktop/Accounts/User$USERNAME \
>   --method org.freedesktop.Accounts.User.SetPassword \
>   "some-new-password" \
>   ""
> 
> то какой будет вывод?
Ошибка: GDBus.Error:org.freedesktop.Accounts.Error.PermissionDenied: Authentication is required

Comment 6 Sergey V Turchin 2026-06-02 11:48:06 MSK

$ id
uid=1000(zerg) gid=1000(zerg) группы=1000(zerg),10(wheel),14(uucp),19(proc),22(cdrom),36(vmusers),71(floppy),80(cdwriter),81(audio),83(radio),100(users),441(usershares),449(camera),464(vboxusers),466(fuse),477(video),498(xgrp),499(scanner)

Comment 7 Sergey V Turchin 2026-06-02 17:18:41 MSK

Created attachment 21588 [details]
скриншот авторизации

Comment 8 Repository Robot 2026-06-03 13:10:04 MSK

accountsservice-26.12.8-alt2 -> sisyphus:

Wed Jun 03 2026 Vladimir Romanov <rirusha@altlinux> 26.12.8-alt2
- Allowed to user change their own password without authentication
  (closes: #59397).

Comment 9 Vladimir Romanov 2026-06-03 13:27:02 MSK

Наконец полнял, что вы имели ввиду... Да, действительно странно, что пользователь не может поменять свой собственный пароль

Comment 10 Sergey V Turchin 2026-06-03 13:44:38 MSK

(Ответ для Vladimir Romanov на комментарий #9)
> Наконец полнял, что вы имели ввиду... Да, действительно странно, что
> пользователь не может поменять свой собственный пароль
Дело в том, что я посмотрел у других и не нашёл там такого изменения, как вы сделали.

Продполагаю, что там wheel участвует или ещё что-то. Или надо смотреть установленные дистрибутивы. Может, там правило какие-то подкладывают.

В любом случае спасибо!

Comment 11 Elena Mishina 2026-06-03 14:34:55 MSK

Я правильно понимаю, что с этими правками, никакой пароль не запрашивается? И текущий тоже? 
Тут получаем две проблемы, связанные с безопасностью:
1) не запрашивается текущий пароль;
2) можно установить сколь угодно простоя пароль (т.е. не учитываются парольные ограничения из /etc/passwdqc.conf)


В GNOME Control Center смене пароля запускается passwd от имени текущего пользователя:
июн 02 10:57:37 newhost passwd[4027]: pam_tcb(passwd:chauthtok): Password for user changed by user(uid=1000)
Там и текущий пароль запрашивается, и простой пароль установить нельзя.

Comment 12 Sergey V Turchin 2026-06-03 14:53:46 MSK

(Ответ для Elena Mishina на комментарий #11)
> Я правильно понимаю, что с этими правками, никакой пароль не запрашивается?
> И текущий тоже? 
Похоже, да.

Авторизация нужна, но не от root, а от текущего пользователя.

Comment 13 Vladimir Romanov 2026-06-03 14:58:30 MSK

(Ответ для Sergey V Turchin на комментарий #12)
> (Ответ для Elena Mishina на комментарий #11)
> > Я правильно понимаю, что с этими правками, никакой пароль не запрашивается?
> > И текущий тоже? 
> Похоже, да.
> 
> Авторизация нужна, но не от root, а от текущего пользователя.

Но также не будет проверятся сложность пароля через passwdqc/pwquality.

Comment 14 Sergey V Turchin 2026-06-03 15:22:01 MSK

(Ответ для Vladimir Romanov на комментарий #13)
> > Авторизация нужна, но не от root, а от текущего пользователя.
> Но также не будет проверятся сложность пароля через passwdqc/pwquality.
Это отдельная тема.
Надо сделать "auth_self" для смены своего пароля. Не "auth_self_keep".

Comment 15 Sergey V Turchin 2026-06-03 15:48:36 MSK

(Ответ для Vladimir Romanov на комментарий #13)
> также не будет проверятся сложность пароля через passwdqc/pwquality.
Только для локальных пользователей. Для доменных он и не умеет.
В К для этого есть возможность в krb5-ticket-watcher.

Comment 16 Sergey V Turchin 2026-06-04 12:03:35 MSK

Ну и неплохо было бы поинтересоваться, почему остальные дистрибюторы не меняют этот параметр.