При установке создается файл /root/autoinstall.scm и в него в открытом виде заносятся пароли всех пользователей, созданных при установке, в т. ч. и root. Наверное такой файл необходимо создавать не автоматически, а по нажатию специальной кнопки на последней стадии инсталлятора.
Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если вы сможете прочитать этот файл, то вы уже с привилегиями рута.
(In reply to comment #1) > Этот файл лежит в домашней директории рута и доступен на чтение только ему. Если > вы сможете прочитать этот файл, то вы уже с привилегиями рута. ИМХО, не факт что я его знаю. Может мне просто жесткий диск в руки попался. Например я инженер сервисного центра, в который сдали сервер, допустим со сгоревшим БП. Я этот HDD подрубаю к своей машине, и спокойно читаю пароль беспечного администратора, не удалившего этот файл.
Если диск попал в руки злоумышленника, то данные на диске будут уже скомпрометированы. Даже не имея паролей он может оставить закладки для получения доступа.
(In reply to comment #3) > Если диск попал в руки злоумышленника, то данные на диске будут уже > скомпрометированы. Даже не имея паролей он может оставить закладки для получения > доступа. Это понятно. Я просто думаю, что генерацию файла autoinstall.scm надо сделать в ручном режиме. С выводом предупреждения о паролях в открытом виде. Думаю трудностей это вызвать не должно. p.s. А как этот файл использовать в дальнейшем?
вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в файлах которые лежат в /root/ пароли остаются?
(In reply to comment #5) > вообще вроде как в инсталляторе был скрипт, который удаляет пароли ... или в > файлах которые лежат в /root/ пароли остаются? > В системе паролей не остаётся - только что проверил, а посему багу закрываю.
(In reply to comment #6) > В системе паролей не остаётся - только что проверил, а посему багу закрываю. В 4.0 и 4.1 остаются -- https://bugzilla.altlinux.org/show_bug.cgi?id=16495#c12 . Reopen?
