Bug 15080 - save passwords on plain text
Summary: save passwords on plain text
Status: CLOSED NOTABUG
Alias: None
Product: Sisyphus
Classification: Development
Component: installer (show other bugs)
Version: unstable
Hardware: all Linux
: P2 normal
Assignee: Anton V. Boyarshinov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks: 16495 18305
  Show dependency tree
 
Reported: 2008-03-25 19:57 MSK by Pavel Zilke
Modified: 2008-12-22 22:09 MSK (History)
8 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Pavel Zilke 2008-03-25 19:57:14 MSK
При установке создается файл /root/autoinstall.scm и в него в открытом виде
заносятся пароли всех пользователей, созданных при установке, в т. ч. и root. 

Наверное такой файл необходимо создавать не автоматически, а по нажатию
специальной кнопки на последней стадии инсталлятора.
Comment 1 Alexey Gladkov 2008-03-25 23:17:52 MSK
Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если
вы сможете прочитать этот файл, то вы уже с привилегиями рута.
Comment 2 Pavel Zilke 2008-03-26 08:01:13 MSK
(In reply to comment #1)
> Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если
> вы сможете прочитать этот файл, то вы уже с привилегиями рута.

ИМХО, не факт что я его знаю. Может мне просто жесткий диск в руки попался.
Например я инженер сервисного центра, в который сдали сервер, допустим со
сгоревшим БП. Я этот HDD подрубаю к своей машине, и спокойно читаю пароль
беспечного администратора, не удалившего этот файл.
Comment 3 Alexey Gladkov 2008-03-26 14:07:56 MSK
Если диск попал в руки злоумышленника, то данные на диске будут уже
скомпрометированы. Даже не имея паролей он может оставить закладки для получения
доступа.
Comment 4 Pavel Zilke 2008-03-27 19:31:28 MSK
(In reply to comment #3)
> Если диск попал в руки злоумышленника, то данные на диске будут уже
> скомпрометированы. Даже не имея паролей он может оставить закладки для получения
> доступа.

Это понятно. Я просто думаю, что генерацию файла autoinstall.scm надо сделать в
ручном режиме. С выводом предупреждения о паролях в открытом виде.
Думаю трудностей это вызвать не должно.

p.s. А как этот файл использовать в дальнейшем?
Comment 5 inger@altlinux.org 2008-03-28 13:04:23 MSK
вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в
файлах которые лежат в /root/ пароли остаются?
Comment 6 inger@altlinux.org 2008-04-03 15:54:32 MSD
(In reply to comment #5)
> вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в
> файлах которые лежат в /root/ пароли остаются?
> 

В системе паролей не остаётся - только что проверил, а посему багу закрываю.
Comment 7 Ivan Zakharyaschev 2008-12-22 14:55:55 MSK
(In reply to comment #6)
 
> В системе паролей не остаётся - только что проверил, а посему багу закрываю.
 
В 4.0 и 4.1 остаются -- https://bugzilla.altlinux.org/show_bug.cgi?id=16495#c12 . Reopen?