|
А каким образом вы не задаете пароль рута при установке?
Привет всем. Нашел в сквизи дыру, через которую можно получить удаленного рута. Воспроизводится так: При установке системы, пароль руту не задаем. При этом пользователь, заведенный через инсталятор, получит возможность выполнять любую команду через sudo, введя свой пароль. После установки, можно сделать апдейты с security debian. Лично Я всегда делаю, но по отношению к этой дыре это, по моему не имеет значения. Собственно дыра обнаруживается так: с другой машины, из-под рута говорим ssh-copy-id new-machine-ip ... и ... собс-но все! ключ каким-то волшебным образом копируется на эту машину и можно заходить рутом: slogin new-machine-ip Подтвердите или опровергните, кто может. В качестве временного решения - установить пароль рута на новой машине. -- DamirX |