Bug 15080

Summary: save passwords on plain text
Product: Sisyphus Reporter: Pavel Zilke <pavel.zilke>
Component: installerAssignee: Anton V. Boyarshinov <boyarsh>
Status: CLOSED NOTABUG QA Contact: qa-sisyphus
Severity: normal    
Priority: P2 CC: antohami, boyarsh, erthad, imz, klark, mike, rider, sem
Version: unstable   
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 16495, 18305    

Description Pavel Zilke 2008-03-25 19:57:14 MSK
При установке создается файл /root/autoinstall.scm и в него в открытом виде
заносятся пароли всех пользователей, созданных при установке, в т. ч. и root. 

Наверное такой файл необходимо создавать не автоматически, а по нажатию
специальной кнопки на последней стадии инсталлятора.
Comment 1 Alexey Gladkov 2008-03-25 23:17:52 MSK
Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если
вы сможете прочитать этот файл, то вы уже с привилегиями рута.
Comment 2 Pavel Zilke 2008-03-26 08:01:13 MSK
(In reply to comment #1)
> Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если
> вы сможете прочитать этот файл, то вы уже с привилегиями рута.

ИМХО, не факт что я его знаю. Может мне просто жесткий диск в руки попался.
Например я инженер сервисного центра, в который сдали сервер, допустим со
сгоревшим БП. Я этот HDD подрубаю к своей машине, и спокойно читаю пароль
беспечного администратора, не удалившего этот файл.
Comment 3 Alexey Gladkov 2008-03-26 14:07:56 MSK
Если диск попал в руки злоумышленника, то данные на диске будут уже
скомпрометированы. Даже не имея паролей он может оставить закладки для получения
доступа.
Comment 4 Pavel Zilke 2008-03-27 19:31:28 MSK
(In reply to comment #3)
> Если диск попал в руки злоумышленника, то данные на диске будут уже
> скомпрометированы. Даже не имея паролей он может оставить закладки для получения
> доступа.

Это понятно. Я просто думаю, что генерацию файла autoinstall.scm надо сделать в
ручном режиме. С выводом предупреждения о паролях в открытом виде.
Думаю трудностей это вызвать не должно.

p.s. А как этот файл использовать в дальнейшем?
Comment 5 inger@altlinux.org 2008-03-28 13:04:23 MSK
вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в
файлах которые лежат в /root/ пароли остаются?
Comment 6 inger@altlinux.org 2008-04-03 15:54:32 MSD
(In reply to comment #5)
> вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в
> файлах которые лежат в /root/ пароли остаются?
> 

В системе паролей не остаётся - только что проверил, а посему багу закрываю.
Comment 7 Ivan Zakharyaschev 2008-12-22 14:55:55 MSK
(In reply to comment #6)
 
> В системе паролей не остаётся - только что проверил, а посему багу закрываю.
 
В 4.0 и 4.1 остаются -- https://bugzilla.altlinux.org/show_bug.cgi?id=16495#c12 . Reopen?