15080 2008-03-25 19:57:14 +0300 save passwords on plain text 2008-12-22 22:09:16 +0300 1 1 4 Development Sisyphus installer unstable all Linux CLOSED NOTABUG P2 normal --- 16495 18305 1 pavel.zilke boyarsh antohami boyarsh erthad imz klark mike rider sem qa-sisyphus oldest_to_newest 66636 0 pavel.zilke 2008-03-25 19:57:14 +0300 При установке создается файл /root/autoinstall.scm и в него в открытом виде заносятся пароли всех пользователей, созданных при установке, в т. ч. и root. Наверное такой файл необходимо создавать не автоматически, а по нажатию специальной кнопки на последней стадии инсталлятора. 66669 1 legion 2008-03-25 23:17:52 +0300 Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если вы сможете прочитать этот файл, то вы уже с привилегиями рута. 66679 2 pavel.zilke 2008-03-26 08:01:13 +0300 (In reply to comment #1) > Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если > вы сможете прочитать этот файл, то вы уже с привилегиями рута. ИМХО, не факт что я его знаю. Может мне просто жесткий диск в руки попался. Например я инженер сервисного центра, в который сдали сервер, допустим со сгоревшим БП. Я этот HDD подрубаю к своей машине, и спокойно читаю пароль беспечного администратора, не удалившего этот файл. 66712 3 legion 2008-03-26 14:07:56 +0300 Если диск попал в руки злоумышленника, то данные на диске будут уже скомпрометированы. Даже не имея паролей он может оставить закладки для получения доступа. 66837 4 pavel.zilke 2008-03-27 19:31:28 +0300 (In reply to comment #3) > Если диск попал в руки злоумышленника, то данные на диске будут уже > скомпрометированы. Даже не имея паролей он может оставить закладки для получения > доступа. Это понятно. Я просто думаю, что генерацию файла autoinstall.scm надо сделать в ручном режиме. С выводом предупреждения о паролях в открытом виде. Думаю трудностей это вызвать не должно. p.s. А как этот файл использовать в дальнейшем? 66886 5 inger 2008-03-28 13:04:23 +0300 вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в файлах которые лежат в /root/ пароли остаются? 67490 6 inger 2008-04-03 15:54:32 +0400 (In reply to comment #5) > вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в > файлах которые лежат в /root/ пароли остаются? > В системе паролей не остаётся - только что проверил, а посему багу закрываю. 83163 7 imz 2008-12-22 14:55:55 +0300 (In reply to comment #6) > В системе паролей не остаётся - только что проверил, а посему багу закрываю. В 4.0 и 4.1 остаются -- https://bugzilla.altlinux.org/show_bug.cgi?id=16495#c12 . Reopen?