Summary: | save passwords on plain text | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Pavel Zilke <pavel.zilke> |
Component: | installer | Assignee: | Anton V. Boyarshinov <boyarsh> |
Status: | CLOSED NOTABUG | QA Contact: | qa-sisyphus |
Severity: | normal | ||
Priority: | P2 | CC: | antohami, boyarsh, erthad, imz, klark, mike, rider, sem |
Version: | unstable | ||
Hardware: | all | ||
OS: | Linux | ||
Bug Depends on: | |||
Bug Blocks: | 16495, 18305 |
Description
Pavel Zilke
2008-03-25 19:57:14 MSK
Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если вы сможете прочитать этот файл, то вы уже с привилегиями рута. (In reply to comment #1) > Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если > вы сможете прочитать этот файл, то вы уже с привилегиями рута. ИМХО, не факт что я его знаю. Может мне просто жесткий диск в руки попался. Например я инженер сервисного центра, в который сдали сервер, допустим со сгоревшим БП. Я этот HDD подрубаю к своей машине, и спокойно читаю пароль беспечного администратора, не удалившего этот файл. Если диск попал в руки злоумышленника, то данные на диске будут уже скомпрометированы. Даже не имея паролей он может оставить закладки для получения доступа. (In reply to comment #3) > Если диск попал в руки злоумышленника, то данные на диске будут уже > скомпрометированы. Даже не имея паролей он может оставить закладки для получения > доступа. Это понятно. Я просто думаю, что генерацию файла autoinstall.scm надо сделать в ручном режиме. С выводом предупреждения о паролях в открытом виде. Думаю трудностей это вызвать не должно. p.s. А как этот файл использовать в дальнейшем? вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в файлах которые лежат в /root/ пароли остаются? (In reply to comment #5) > вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в > файлах которые лежат в /root/ пароли остаются? > В системе паролей не остаётся - только что проверил, а посему багу закрываю. (In reply to comment #6) > В системе паролей не остаётся - только что проверил, а посему багу закрываю. В 4.0 и 4.1 остаются -- https://bugzilla.altlinux.org/show_bug.cgi?id=16495#c12 . Reopen? |