Раскрытие системной информации в Debian.

Помниться кто-то ехидно смеялся над Ubuntu, при этом забыв, что он основан на Debian =).

Впрочем хаять на ЛОРе многие мастера...

В принципе одно из двух: либо открытых паролей в /var/log действительно нет, либо файл отмодерировал Demetrio. Проверю лично через неделю (пока недоступен Debian). Те, кто кричат про пароли, plz cat соответствующий файл.

> Рекомендуют обновить пакет shadow до версии 4.0.14-9.

upsik@mvts:~$ apt-cache search shadow* | grep shadow
libapache-mod-auth-shadow - An Apache module for authentication using /etc/shadow
libshadow-ruby1.6 - Interface of shadow password for Ruby 1.6
libshadow-ruby1.8 - Interface of shadow password for Ruby 1.8
upsik@mvts:~$

нет там shadow пакета 
и в логах нет никаких паролей

новость ФУФЕЛ. и проверена ананимусом

>Это что, во всех дистрах кинулись grep'ать /var/log на предмет паролей? УжОс....

неа, это кто-то задал умный вопрос: 'а откуда растут ноги у убунты???'

> В FC всё лежит в /root. Хоть загрепайся. (0750)

Насклько я помню, в RH дистрибутивах в логи анаконды пароли не пишутся, так что в pain-text их нет вообще. По крайней мере, раньше не было. Может это новая мода?

забаньте обоих

А у меня нет паролей от логинов с bash, все по еТокенам логинятся. В gentoo ;)

... ждем about knoppix ...

а я говорил - ошибка найденная в убунте - значит исправленная в дебиане
:)

нету паролей хоть тресни - ни старых ни новых
весь /var/log обсмотрел
кстати в тестовой убунте 6.04 тоже нету

призрак паролей бродит по /var/log ?

Читайте ссылку "Подробности"! Там один из маитайнеров Debian признает, что баг имеет место и будет зафикшен в пакете shadow версии 4.0.14-9.

...
We believe that the bug you reported is fixed in the latest version of
shadow, which is due to be installed in the Debian FTP archive:

login_4.0.14-9_i386.deb
to pool/main/s/shadow/login_4.0.14-9_i386.deb
passwd_4.0.14-9_i386.deb
to pool/main/s/shadow/passwd_4.0.14-9_i386.deb
shadow_4.0.14-9.diff.gz
to pool/main/s/shadow/shadow_4.0.14-9.diff.gz
shadow_4.0.14-9.dsc
to pool/main/s/shadow/shadow_4.0.14-9.dsc
...

Судя по приведенным там пачтам надо grepить:
/var/log/base-config*/*
/var/log/debian-installer/
/var/log/installer/

Вот кусок патча:

diff -ur old/base-config-2.53.10/base-config base-config-2.53.10.1/base-config
--- old/base-config-2.53.10/base-config2005-05-13 17:00:26.000000000 -0400
+++ base-config-2.53.10.1/base-config2006-03-14 16:02:24.000000000 -0500
@@ -28,6 +28,14 @@
SHELL=/bin/sh
export SHELL

+# Fix permissions of log files to avoid data leakage.
+for log in /var/log/base-config* \
+ $(find /var/log/debian-installer/ /var/log/installer/ -type f 2>/dev/null ); do
+if [ -e "$log" ]; then
+chmod 600 "$log"
+fi
+done
+

Все обгрепал - ну нет нигде упоминания

нету
видать надо было на автомате ставить :)

+1
все чисто.

к чему такая паника?? ну даже если бы были там пароли и??

rm -rf /var/log/* и всё

или у вас мания каждый день фресш инсталл делать??

БЛ# ! Не ожидал сего от дебиановцев!

Грабли вот в чем - в /var/log/base-config.log лежит ПОЛНЫЙ дамп терминала с которого произодилась инсталяция. Причем нашел его на своем лаптопе и ... на серваках. А на стационаре них... Причем базовая инсталяция на лаптопе отличается от стационара только параметрами при загрузке (на лаптопе добавлял acpi=force)

Видать не зря дебиановский безопасник послал всех нах....

И кто тут называл LFS онанинизмом ?

>.bash_history теперь везде сотри :)

А зачем? ;)

cat /etc/env.d/99local HISTSIZE=10 HISTFILESIZE=0 TMOUT=3600

http://packages.debian.org/cgi-bin/search_packages.pl?keywords=shadow&sea...

Ну нет такого пакета - shadow!

Блин. Цозлы-переводчики. Что написано в багзилле: Packages: passwd, base-config; [...] Source for passwd is shadow.

shadow - это source-пакет. Бинарный - passwd.

>Все обгрепал - ну нет нигде упоминания

Аналогично - пробовал и рутовый и юзерский и другие пароли. Sid.

Пока, что это говорит о большом количестве аникейщиков, среди присутсвующих (те, которые про пароли вопют). Видимо, вы на логи вообще внимание обращаете, когда увидите на экране "ВАС ПРОЛОМАЛИ - УДАЧИ ВСЕМ НАМ!!!"

LOL

пароли вовремя менять надо :)

> Видимо, вы на логи вообще внимание обращаете, когда увидите на экране "ВАС ПРОЛОМАЛИ - УДАЧИ ВСЕМ НАМ!!!"

Для начала надо разобраться c какого перепугу инсталлер вдруг начал вместо лога установки - валить дамп с терминала. Из такого дампика рутовый пароль конечно не выцепишь - #надцать звездочек получается. А вот то что открытым текстом лезет - все как есть.

До кучи афтару pppconfig - оторвать руки нах. Именно тоам пароль выводится на экран as is. А доблестный инсталлер все это Г в чистом анси валит в логи.

Хоть и режим там 0600. Но что будет завтра - ХЗ. Особенно настораживает появление фичи "А не хотите ли вы предоставлять инфу об установленных пакетах дистростроителям" (при этом при изменении набора пакетов срез инсталяции шлется мантайнерам АВТОМАТИЧЕСКИ).

Или я допился или где-то я это уже видел...

"А не хотите ли вы предоставлять инфу об установленных пакетах дистростроителям" нужно для того, чтобы определять нужные и ненужные пакеты. Незадолго до выхода Sarge из дистрибутива была исключена сотня (а то и две) пакетов, которые никто не ставил. Опять же, на основе этой информации пакеты распределяются по дискам - чтобы более важные шли на на дисках с меньшим номером.

Ну не тупее паровоза...

Я имею ввиду, что с такими лагами завтра эта примочка начнет тарить весь /etc на предмет еще более удобных конфигураторов.... ну или там...еще чего...

> чтобы более важные шли на на дисках с меньшим номером.

А методом голосования рейтинг популярности пакетов сделать не судьба ? Или теперь набор и идеологию дистра будет решать не коммьюнити а каждая "домохозяка" поставившая дебиан и чуть-чуть ступивши нажавшая кнопку "Ага предоставлять" ?

Ну все пипец дебиану... Ждем нового релиза где гцц бизон флекс апач постгрес будут валяться в конце дохренадцатого диска, потому что первые дохренадцать будут заняты кдями, гномами, суперкарамбами, парой килограммов пропаганды с босыми ступнями и шестеренками, xmmsами амароками... кафеинами...

И из-за того что автору инсталлера будет вилы писать чистый текстовый лог типа "поставили то, поставили это". Будет еще какаянить хрень которая будет снапшотить весь процесс инсталляции в /var/log/install.avi

Обидно....

> Что, пароли хранятся в _нешифрованном виде_ в auth.log?? Это, батенька, тоже уязвимость. Нестрашная правда, но позволяющая хакеру, получившему root access через какой-нибудь эксплоит узнать настоящий пароль и заходить потом уже через двери в систему. Lesser Critical, однако.

зачем "хакеру, получившему root access через какой-нибудь эксплоит узнать настоящий пароль", если он может запустить команду passwd?

> А у меня нет паролей от логинов с bash, все по еТокенам логинятся. В gentoo ;)

а что такое "еТокен" и как с его помощью можно логиниться?

Я очень извиняюсь, но может ктонибудь ( из тех у кого эта проблема присутствует) все таки выложит пример, а то я проверил 7 машин с Debian, начиная с Woody и заканчивая Etch и ничего не нашёл ?

Да нет никаких паролей в /var/log/*. Проверено на чистой инсталляции Debian 3.1r0a, без апдейтов.

Дай мыло...

merz'собака'acp.lv

- А почему "Ы"? - Чтобы никто не догадался!

Настоящий хакир - это такой хакир, который может Пентагон хакнуть так, что никто ничего не заметит.

> Да нет никаких паролей в /var/log/*. Проверено на чистой инсталляции Debian 3.1r0a, без апдейтов.

Возьми etch заглуши сетевуху, и попроси сконфижить ppp для установки по сети... будешь "приятно" удивлен.

А в Sarge это прокатит или нет ?

>Я имею ввиду, что с такими лагами завтра эта примочка начнет тарить весь /etc на предмет еще более удобных конфигураторов.... ну или там...еще чего...

Не кури по утрам. А лучше вообще не кури.

>А методом голосования рейтинг популярности пакетов сделать не судьба ?

Не судьба. Его используют десятки, сотни тысяч человек. А пакетов в нём - 60000.

>Или теперь набор и идеологию дистра будет решать не коммьюнити а каждая "домохозяка" поставившая дебиан и чуть-чуть ступивши нажавшая кнопку "Ага предоставлять" ?

Набор и идеологию дистра будут решать те, кто его использует. Ибо дистрибутив для пользователей, а не для сферических лошадей. В вакууме.

>Ждем нового релиза где гцц бизон флекс апач постгрес будут валяться в конце дохренадцатого диска, потому что первые дохренадцать будут заняты кдями, гномами, суперкарамбами, парой килограммов пропаганды с босыми ступнями и шестеренками, xmmsами амароками... кафеинами...

Если gcc используют .002% пользователей, а xmms - 10%, почему ты считаешь, что gcc важнее? Потому что он важнее для тебя? Делай свой дистр.

>И из-за того что автору инсталлера будет вилы писать чистый текстовый лог

Какого инсталлера! Ты Дебиан видел? Ты знаешь, что там пакеты ставятся /сносятся постоянно? Что жизнь системы не заканчивается её установкой?

Черт его знает...

> Не кури по утрам. А лучше вообще не кури.

А пописать сходить можно ?

> Не судьба. Его используют десятки, сотни тысяч человек. А пакетов в нём - 60000.

Значит packages.debian.org тоже абсурден по своей сути ?

> Если gcc используют .002% пользователей, а xmms - 10%, почему ты считаешь, что gcc важнее?

Потому что среднестатистический пользоватье ОС Linux - чаще всего ITшник а не домохозяйка (Дебиана так особенно).

> Потому что он важнее для тебя? Делай свой дистр.

Видимо все идет к тому....

> Какого инсталлера! Ты Дебиан видел?

Неа а разве это сайт не про запорожцы ?

> Ты знаешь, что там пакеты ставятся /сносятся постоянно?

Ахренеть... Они что там живут как плесень? Или теперь Дебиан ставится по принципу ХЗ зачем просто штоп поставить ?

Знаешь-ли набор необходимых пакетов как-то уже сформировался....

>> Если gcc используют .002% пользователей, а xmms - 10%, почему ты считаешь, что gcc важнее?

>Потому что среднестатистический пользоватье ОС Linux - чаще всего ITшник а не домохозяйка (Дебиана так особенно).

В таком случае приведённые проценты будут распределены наоборот. В чём суть проблемы?

> В таком случае приведённые проценты будут распределены наоборот. В чём суть проблемы?

После таких проколов, только идиот или камикадзе позволит "чему-то" автоматически отправляться "куда-то". А изобретать верификатор для этого Г уж больно пахнет маразмом...

Учитывая, что периодически обновляя новые версии пакетов etch'a я уже отражаю свой выбор пакетов в ftp/http логах используемого зеркала.

Блин! Там же нормально написано: 1) Пароль хранится в логах установки (!), а не системных (!!). Нафига вам грепать системные (разместили вроде обычную новость а все кинулись фигней страдать)?.. 2) Такое происходит только в том случае если инсталлер использует preseed-файл. Та возмите, в конце-концов, и почитайте что это такое!! Обычная дебиановская установка его не использует! Тоесть надо специально хакать д-и для этого. Ну если какой-то мудак решил вдруг себе сбачать кастом дистр и не потрудился проверить результат, то, тут уж извините, так ему и надо! P.S. Я между прочим эти логи всегда после установки стираю - и другим рекомендую..

Ну, Etch еще до релиза как до Луны, а на серверах все же следует использовать stable Sarge + updates

... Script started on Пнд 13 Мар 2006 19:51:07 Идёт настройка основной системы... [?25l[?1c                           Настройка пакетов Debianздддддд╢ Начальная настройка основной системы цдддддд©Ё Вы находитесь в меню настройки базовой системы. Ё Ё Ё Ё Ваш следующий шаг в процессе установки: Ё Ё Ё Ё Показать вводное сообщение  Ё Ё Предконфигурационные параметры языка Ё Ё Настроить пользователей и их пароли Ё Ё Установить имя системы Ё Ё Настроить apt Ё Ё Выбрать и установить пакеты Ё Ё Постконфигурационные параметры языка Ё Ё Закончить настройку основной системы Ё Ё Выйти из программы настройки основной системы Ё Ё Запустить командную строку Ё Ё Ё Ё Ё Ё <Ok> <Отмена> Ё Ё Ё юддддддддддддддддддддддддддддддддддддддддддддддддд ддды  [?25h[?0c  ...

Это уже называется логом инсталляции ?

Ню-ню

Все прогрепал :). Нашел только пароль к виртуальной машине, в vmware'вском vmem файле, который совпадает с паролем пользователя (уже сменил). Но vmware вроде как к debian'у отношения не имеет :).

Да! Именно! Такие логи ведутся для обнаружение неполадок при установке или для возможности просмотра процесса установки при использовании preseed-файлов, тоесть при кастомизации инсталлера. Есчё раз повторяю - в обычном дебиане этот глюк не проявляется! А то, что он есть в Убунту - так это понятно - они ж какраз-то кастомищировали инсталлер. Специально для Вас проверил свою недавнюю установку дебиан тестинг - *ПАРОЛЕЙ НЕТ*!

>>теперь весь лор будет кричать что рулит только генту и слака.

Слакой не пользовался, но гента точно рулит! ;)

% cat /etc/debian_version                                                                 
3.1
% uname -a                                                                                
Linux tux 2.6.8-2-k7 #1 Thu May 19 18:03:29 JST 2005 i686 GNU/Linux
% ls /var/log/base-config.log                                                             
/bin/ls: /var/log/base-config.log: No such file or directory

Что же у тебя за дистр?

Спасибо. Но, вам не кажется, что лучше бы новость нормально написали?

> Специально для Вас проверил свою недавнюю установку дебиан тестинг - *ПАРОЛЕЙ НЕТ*!

Блин уже писал см. выше

"Причем нашел его на своем лаптопе и ... на серваках. А на стационаре них... "

С чего вдруг эта шняга где-то есть а где-то нет - хрен его знает.

И чтобы не разводить флейм:я не собираюсь никого убеждать, в том что я вижу собственными глазами - я лишь высказал свои сожаления по поводу попсения (некогда) хорошего дистрибутива, который когда-то называли "академическим" линухом (в плане строгости и вылизанности).

Нет у Вас этих граблей - искренне за вас рад... За себя скажу - то что я вижу в тестинге ИМХО весьма печально.

За сим позвольте прекратить мое участие в дискуссии пока она силами присутствующей молодежи не стала очередным флеймом.

PS: Вашу точку зрения не разделяю, но осознаю.

> в /var/log/base-config.log лежит

Нет такой буквы. Может ты /var/log/installer.log имеешь в виду? Там какой-то дамп есть. Паролей же там никаких, увы, нет.

А можно поинтересоваться, что плохого происходит в тестинге?