Bug 16495

Summary: в /root/autoinstall.scm явно написаны пароли
Product: ALT Linux Lite Reporter: Ivan Zakharyaschev <imz>
Component: installerAssignee: Anton V. Boyarshinov <boyarsh>
Status: CLOSED FIXED QA Contact: Andrey Cherepanov <cas>
Severity: major    
Priority: P2 CC: cnamep, inger, slazav, wrar
Version: 4.0.2Keywords: alterator-platform-1.4
Hardware: all   
OS: Linux   
Bug Depends on: 15080    
Bug Blocks:    

Description Ivan Zakharyaschev 2008-07-31 16:48:37 MSD 
4.0.3 --
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/4.0/Desktop/4.0.3/iso/altlinux-4.0.3-lite-i586-install_ru-cd.iso

В /root/autoinstall.scm явно написаны пароли (root-а, первого пользователя). Хотелось бы, чтобы там всё-таки был hash. 

(Например, плохо, что пользовательский пароль сможет прочитать всякий root, хотя пользователя никто об этом не предупреждал, когда он вводил пароль, и он на это не рассчитывал и мог ввести пароль, который он использует в некоторых других местах.)
Comment 1 Andrey Rahmatullin 2008-07-31 19:31:50 MSD 
Как, опять?

А как тогда этот autoinstall юзать, если там пароля в явном виде нет?
Comment 2 Ivan Zakharyaschev 2008-07-31 21:32:53 MSD 
(In reply to comment #1)
> Как, опять?
> 
> А как тогда этот autoinstall юзать, если там пароля в явном виде нет?

Ну, можно придумать способ сразу hash вписывать при автоустановке.
Comment 3 Ivan Zakharyaschev 2008-07-31 21:35:04 MSD 
(In reply to comment #0)

> (Например, плохо, что пользовательский пароль сможет прочитать всякий root,

Или, например, админ будет раздавать этот autoinstall.scm для массовой уствновки работникам, которым он сильно не доверяет.
Comment 4 Ivan Zakharyaschev 2008-07-31 21:41:09 MSD 
(In reply to comment #1)
> Как, опять?

Да, нашёл ещё одно сообщение на эту тему (https://bugzilla.altlinux.org/show_bug.cgi?id=15080 ). Возможно, такого уже нет в текущем рабочем варианте installer-а, но в Lite 4.0.* пока ещё проблема открыта же.
Comment 5 Ivan Zakharyaschev 2008-07-31 22:03:34 MSD 
По крайней мере, об этом надо громко сообщать и делать это осознанным выбором ставящего. Иначе, они там лежат в plain text, а он об этом и не знает. (Иначе какой смысл в /etc/shadow заморачиваться тогда с hash-ами, если они всё равно в этой файловой системе лежат себе и в plain text?..)
Comment 6 Andrey Rahmatullin 2008-08-21 23:45:25 MSD 
*** Bug 16809 has been marked as a duplicate of this bug. ***
Comment 7 cnamep 2008-08-22 09:42:59 MSD 
Та да....., а если вовремя не проапдейтил какой-то пакет в котором есть уязвимость, то даже любой ламерок сможет в узнать пароль рута.......
(заюзал эксплойт с какого-то сайтика и на те пароль).
Я думаю что если нужна автоустановка, то это должен быть отдельный пакет который будет создавать файлик и пароль полюбому не в плаин тексте.....
И второй момент!!! - зачем этот файл создается при установке сервера????!!!!
Вы себе представляете интернет шлюз с такой дырой в которую можно слона протолкнуть.........
Comment 8 Andrey Rahmatullin 2008-08-22 09:46:37 MSD 
(In reply to comment #7)
> Та да....., а если вовремя не проапдейтил какой-то пакет в котором есть
> уязвимость, то даже любой ламерок сможет в узнать пароль рута.......
Для этого он должен будет уже быть рутом.
Comment 9 cnamep 2008-08-22 10:06:58 MSD 
(In reply to comment #8)
> (In reply to comment #7)
> > Та да....., а если вовремя не проапдейтил какой-то пакет в котором есть
> > уязвимость, то даже любой ламерок сможет в узнать пароль рута.......
> Для этого он должен будет уже быть рутом.

не факт... это может быть любой из процессов запущеный от имени рута.....
Comment 10 Andrey Rahmatullin 2008-08-22 10:10:45 MSD 
(In reply to comment #9)
> (In reply to comment #8)
> > (In reply to comment #7)
> > > Та да....., а если вовремя не проапдейтил какой-то пакет в котором есть
> > > уязвимость, то даже любой ламерок сможет в узнать пароль рута.......
> > Для этого он должен будет уже быть рутом.
> не факт... это может быть любой из процессов запущеный от имени рута.....
Что то же самое.
Comment 11 cnamep 2008-08-22 10:15:35 MSD 
(In reply to comment #10)
> (In reply to comment #9)
> > (In reply to comment #8)
> > > (In reply to comment #7)
> > > > Та да....., а если вовремя не проапдейтил какой-то пакет в котором есть
> > > > уязвимость, то даже любой ламерок сможет в узнать пароль рута.......
> > > Для этого он должен будет уже быть рутом.
> > не факт... это может быть любой из процессов запущеный от имени рута.....
> Что то же самое.
нет.... это может быть тот же самый альтератор в котором завтра кто-то найдет баг и зайдет примерно по такой ссцылочке https://hostname:8080/fbi-bin/index.scm/?read=/root/autoinstall.scm
или вы будете утверждать что данной ситуации просто невозможно.....
Comment 12 Ivan Zakharyaschev 2008-12-22 14:54:35 MSK 
(In reply to comment #4)
> (In reply to comment #1)
> > Как, опять?
> 
> Да, нашёл ещё одно сообщение на эту тему (https://bugzilla.altlinux.org/show_bug.cgi?id=15080 ).
> Возможно, такого уже нет в текущем рабочем варианте installer-а, но в Lite 4.0.* пока
> ещё проблема открыта же.
 
В Desktop 4.1 то же самое, можно убедиться в https://bugzilla.altlinux.org/show_bug.cgi?id=18274#c1 .
Comment 13 inger@altlinux.org 2008-12-22 15:30:46 MSK 
Да, sed-овый хак отвалил из-за переименования полей.
Можно делать reopen ... только исправлять буду только в следующем году ;)
Comment 14 inger@altlinux.org 2008-12-22 15:31:43 MSK 
2slazav: Захочешь исправить - исправлять надо в пакете alterator-wizardface.
Comment 15 Ivan Zakharyaschev 2008-12-22 22:10:37 MSK 
(In reply to comment #13)
> Можно делать reopen ... только исправлять буду только в следующем году ;)

Каково сейчас положения в 4.0, не знаю, поэтому открываю отдельное сообщение для 4.1:

https://bugzilla.altlinux.org/show_bug.cgi?id=18305