Re: Obteniendo contraseña de root ¿Bug?

[Camaleón <noelamac@gmail.com>]

El Fri, 18 Nov 2011 15:14:26 +0100, José Ramón Rubio escribió:

> 2011/11/18 Camaleón <noelamac@gmail.com>:
>> El Fri, 18 Nov 2011 13:12:19 +0100, José Ramón Rubio escribió:
>>
>> ***
>> Se han concedido permisos sin pedir una contraseña
>>
>> El programa «epiphany» se ha iniciado con los privilegios del usuario
>> root sin necesidad de pedir una contraseña, debido a la configuración
>> del mecanismo de autenticación de su sistema.
>>
>> Es posible que se le permita ejecutar programas específicos como el
>> usuario root sin necesidad de una contraseña, o que la contraseña está
>> cacheada.
>>
>> Esto no es un informe de un problema, sino una notificación para
>> asegurarse de que es consciente de esto. ***
> 
> Gracias Camaleon, no me había fijado en este mensaje donde pone
> claramente que la contraseña está cacheada.

El mensaje aparece la primera vez tras seleccionar que quieres mantener 
la contraseña cacheada durante un tiempo. A mí me ha aparecido porque 
nunca antes había usado esa opción :-)

> No obstante, no se trata de analizar si el escenario es poco probable,
> yo también creo que es un escenario poco probable, 

El escenario no tiene nada de improbable, la verdad. Ejecutar un strace 
está al alcance de cualquiera. Y si tienes permisos de root, eres el amo 
y dueño del equipo.

> pero Debian no lo usa sólo gente con perfil técnico, y pedir ayudar a
> algún amig@ o conocid@ para que le instale o configure algo es muy
> habitual; y el hecho de que la contraseña se almacene en texto plano
> puede ser un riesgo. Está documentado y no es bug, pero tal vez se
> debería modificar este compartimiento, porque no creo que sea necesario
> que las contraseñas se almacenen en texto plano.

La contraseña no se "almacena" en texto plano, eso es cosa del strace, 
pero mira, hay casos peores:

Stealing Usernames and Passwords from SSHD
http://pentestmonkey.net/blog/sshd-snooping

;-)

Saludos,

-- 
Camaleón