El 18 de noviembre de 2011 09:23, Marc Olive
<marc.olive@blauadvisors.com> escribió:
On Friday 18 November 2011 13:12:19 José Ramón Rubio wrote:
> Hola,
>
> He observado un comportamiento que a mi juicio sería un fallo de
> seguridad, pero nose que os parece..
>
> - Desde este momento y hasta que se cierre sesión, cualquier usuario
> sin privilegios de administrador, puede abrir un terminal y con el
> comando siguiente: strace -o fich gksu ls, en el fichero "fich" va a
> poder localizar la contraseña de administrador pero almacenada en
> texto plano.
No es verdad.
"gksu ls" solo se ejecutará con permisos de administrador si quien lo ejecuta
es el mismo usuario que préviamente ha invocado gksu recordando la contraseña,
los otros usuario del sistema no tiene acceso a esta información.
Y los otros usuarios tampoco tienen acceso al espacio de memoria del resto
como para saber sus llamadas a los procesos del sistema con strace.
> Saludos.
Saludos,
Eso no quitas que te vayas 5 minutos al baño, dejes la maquina logueada, vaya alguien, tracee fitch, y te capture la clave