Bug 15080 - save passwords on plain text
: save passwords on plain text
Status: CLOSED NOTABUG
: Sisyphus
(All bugs in Sisyphus/installer)
: unstable
: all Linux
: P2 normal
Assigned To:
:
:
:
:
: 16495 18305
  Show dependency tree
 
Reported: 2008-03-25 19:57 by
Modified: 2008-12-22 22:09 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2008-03-25 19:57:14
При установке создается файл /root/autoinstall.scm и в него в открытом виде
заносятся пароли всех пользователей, созданных при установке, в т. ч. и root. 

Наверное такой файл необходимо создавать не автоматически, а по нажатию
специальной кнопки на последней стадии инсталлятора.
------- Comment #1 From 2008-03-25 23:17:52 -------
Этот файл лежит в домашней директории рута и доступен на чтение только ему.
Если
вы сможете прочитать этот файл, то вы уже с привилегиями рута.
------- Comment #2 From 2008-03-26 08:01:13 -------
(In reply to comment #1)
> Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если
> вы сможете прочитать этот файл, то вы уже с привилегиями рута.

ИМХО, не факт что я его знаю. Может мне просто жесткий диск в руки попался.
Например я инженер сервисного центра, в который сдали сервер, допустим со
сгоревшим БП. Я этот HDD подрубаю к своей машине, и спокойно читаю пароль
беспечного администратора, не удалившего этот файл.
------- Comment #3 From 2008-03-26 14:07:56 -------
Если диск попал в руки злоумышленника, то данные на диске будут уже
скомпрометированы. Даже не имея паролей он может оставить закладки для
получения
доступа.
------- Comment #4 From 2008-03-27 19:31:28 -------
(In reply to comment #3)
> Если диск попал в руки злоумышленника, то данные на диске будут уже
> скомпрометированы. Даже не имея паролей он может оставить закладки для получения
> доступа.

Это понятно. Я просто думаю, что генерацию файла autoinstall.scm надо сделать в
ручном режиме. С выводом предупреждения о паролях в открытом виде.
Думаю трудностей это вызвать не должно.

p.s. А как этот файл использовать в дальнейшем?
------- Comment #5 From 2008-03-28 13:04:23 -------
вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в
файлах которые лежат в /root/ пароли остаются?
------- Comment #6 From 2008-04-03 15:54:32 -------
(In reply to comment #5)
> вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в
> файлах которые лежат в /root/ пароли остаются?
> 

В системе паролей не остаётся - только что проверил, а посему багу закрываю.
------- Comment #7 From 2008-12-22 14:55:55 -------
(In reply to comment #6)

> В системе паролей не остаётся - только что проверил, а посему багу закрываю.

В 4.0 и 4.1 остаются -- https://bugzilla.altlinux.org/show_bug.cgi?id=16495#c12
. Reopen?