16495 2008-07-31 16:48:37 +0400 в /root/autoinstall.scm явно написаны пароли 2008-12-22 22:10:37 +0300 1 1 3 Distributions ALT Linux Lite installer 4.0.2 all Linux CLOSED FIXED alterator-platform-1.4 P2 major --- 15080 1 imz boyarsh cnamep inger slazav wrar cas oldest_to_newest 74617 0 imz 2008-07-31 16:48:37 +0400 4.0.3 -- ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/4.0/Desktop/4.0.3/iso/altlinux-4.0.3-lite-i586-install_ru-cd.iso В /root/autoinstall.scm явно написаны пароли (root-а, первого пользователя). Хотелось бы, чтобы там всё-таки был hash. (Например, плохо, что пользовательский пароль сможет прочитать всякий root, хотя пользователя никто об этом не предупреждал, когда он вводил пароль, и он на это не рассчитывал и мог ввести пароль, который он использует в некоторых других местах.) 74628 1 wrar 2008-07-31 19:31:50 +0400 Как, опять? А как тогда этот autoinstall юзать, если там пароля в явном виде нет? 74631 2 imz 2008-07-31 21:32:53 +0400 (In reply to comment #1) > Как, опять? > > А как тогда этот autoinstall юзать, если там пароля в явном виде нет? Ну, можно придумать способ сразу hash вписывать при автоустановке. 74632 3 imz 2008-07-31 21:35:04 +0400 (In reply to comment #0) > (Например, плохо, что пользовательский пароль сможет прочитать всякий root, Или, например, админ будет раздавать этот autoinstall.scm для массовой уствновки работникам, которым он сильно не доверяет. 74633 4 imz 2008-07-31 21:41:09 +0400 (In reply to comment #1) > Как, опять? Да, нашёл ещё одно сообщение на эту тему (https://bugzilla.altlinux.org/show_bug.cgi?id=15080 ). Возможно, такого уже нет в текущем рабочем варианте installer-а, но в Lite 4.0.* пока ещё проблема открыта же. 74635 5 imz 2008-07-31 22:03:34 +0400 По крайней мере, об этом надо громко сообщать и делать это осознанным выбором ставящего. Иначе, они там лежат в plain text, а он об этом и не знает. (Иначе какой смысл в /etc/shadow заморачиваться тогда с hash-ами, если они всё равно в этой файловой системе лежат себе и в plain text?..) 75981 6 wrar 2008-08-21 23:45:25 +0400 *** Bug 16809 has been marked as a duplicate of this bug. *** 75986 7 cnamep 2008-08-22 09:42:59 +0400 Та да....., а если вовремя не проапдейтил какой-то пакет в котором есть уязвимость, то даже любой ламерок сможет в узнать пароль рута....... (заюзал эксплойт с какого-то сайтика и на те пароль). Я думаю что если нужна автоустановка, то это должен быть отдельный пакет который будет создавать файлик и пароль полюбому не в плаин тексте..... И второй момент!!! - зачем этот файл создается при установке сервера????!!!! Вы себе представляете интернет шлюз с такой дырой в которую можно слона протолкнуть......... 75987 8 wrar 2008-08-22 09:46:37 +0400 (In reply to comment #7) > Та да....., а если вовремя не проапдейтил какой-то пакет в котором есть > уязвимость, то даже любой ламерок сможет в узнать пароль рута....... Для этого он должен будет уже быть рутом. 75989 9 cnamep 2008-08-22 10:06:58 +0400 (In reply to comment #8) > (In reply to comment #7) > > Та да....., а если вовремя не проапдейтил какой-то пакет в котором есть > > уязвимость, то даже любой ламерок сможет в узнать пароль рута....... > Для этого он должен будет уже быть рутом. не факт... это может быть любой из процессов запущеный от имени рута..... 75990 10 wrar 2008-08-22 10:10:45 +0400 (In reply to comment #9) > (In reply to comment #8) > > (In reply to comment #7) > > > Та да....., а если вовремя не проапдейтил какой-то пакет в котором есть > > > уязвимость, то даже любой ламерок сможет в узнать пароль рута....... > > Для этого он должен будет уже быть рутом. > не факт... это может быть любой из процессов запущеный от имени рута..... Что то же самое. 75991 11 cnamep 2008-08-22 10:15:35 +0400 (In reply to comment #10) > (In reply to comment #9) > > (In reply to comment #8) > > > (In reply to comment #7) > > > > Та да....., а если вовремя не проапдейтил какой-то пакет в котором есть > > > > уязвимость, то даже любой ламерок сможет в узнать пароль рута....... > > > Для этого он должен будет уже быть рутом. > > не факт... это может быть любой из процессов запущеный от имени рута..... > Что то же самое. нет.... это может быть тот же самый альтератор в котором завтра кто-то найдет баг и зайдет примерно по такой ссцылочке https://hostname:8080/fbi-bin/index.scm/?read=/root/autoinstall.scm или вы будете утверждать что данной ситуации просто невозможно..... 83162 12 imz 2008-12-22 14:54:35 +0300 (In reply to comment #4) > (In reply to comment #1) > > Как, опять? > > Да, нашёл ещё одно сообщение на эту тему (https://bugzilla.altlinux.org/show_bug.cgi?id=15080 ). > Возможно, такого уже нет в текущем рабочем варианте installer-а, но в Lite 4.0.* пока > ещё проблема открыта же. В Desktop 4.1 то же самое, можно убедиться в https://bugzilla.altlinux.org/show_bug.cgi?id=18274#c1 . 83165 13 inger 2008-12-22 15:30:46 +0300 Да, sed-овый хак отвалил из-за переименования полей. Можно делать reopen ... только исправлять буду только в следующем году ;) 83166 14 inger 2008-12-22 15:31:43 +0300 2slazav: Захочешь исправить - исправлять надо в пакете alterator-wizardface. 83197 15 imz 2008-12-22 22:10:37 +0300 (In reply to comment #13) > Можно делать reopen ... только исправлять буду только в следующем году ;) Каково сейчас положения в 4.0, не знаю, поэтому открываю отдельное сообщение для 4.1: https://bugzilla.altlinux.org/show_bug.cgi?id=18305