Conversation
precedente ou
suivante
Page: 1 sur 2
Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Teotihuacan
Salut à tous,
J'ai remarqué un truc assez marrant sur Ubuntu (je ne sais pas si c'est comme ça sur toutes les Debian) :
Il y a un fichier qui log tout ce qui s'est passé pendant l'installation :
/var/log/installer/cdebconf/questions.dat
Dans ce fichier, il y a loggué toutes les questions de l'install ainsi que les réponses de l'utilisateur.
Ce qui fait que sur la fin, on y trouve le nom de l'utilisateur qui est créé ainsi que son mot de passe en clair.
Alors si je ne me trompe pas :
_ L'installation en mode normal de Ubuntu crée un utilisateur qui a les droits du root via sudo
_ L'installation en expert de Ubuntu crée un compte root.
Dans les deux cas, on peut récupérer par ce biais un compte administrateur de la machine.
Ce qui est encore plus marrant, c'est que ce fichier est accessible en lecture par tous les utilisateurs (contrairement au syslog par exemple).
Personnelement, l'utilisateur que je crée à l'installation c'est l'admin et je n'ai pas le réflexe de changer son mot de passe dès la fin de l'install. Juste après l'install je me suis juste créé un utilisateur non-admin.
J'ai quand même googlelisé sur ce nom de fichier et il n'y a pas des caisses de résultats, mais quand mêne une page sur le Wiki Ubuntu (pour l'install d'un cluster) et ils disent de supprimer ce fichier.
Perso, je pense que c'est un chouia risqué de stocker par défaut le mot de passe un clair dans un fichier accessible par tout le monde. Maintenant, c'est peut être moi qui ne suis pas super au courant des trucs à faire systématiquement.
Je ne sais pas ce que vous en pensez...
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
J'ai remarqué un truc assez marrant sur Ubuntu (je ne sais pas si c'est comme ça sur toutes les Debian) :
Il y a un fichier qui log tout ce qui s'est passé pendant l'installation :
/var/log/installer/cdebconf/questions.dat
Dans ce fichier, il y a loggué toutes les questions de l'install ainsi que les réponses de l'utilisateur.
Ce qui fait que sur la fin, on y trouve le nom de l'utilisateur qui est créé ainsi que son mot de passe en clair.
Alors si je ne me trompe pas :
_ L'installation en mode normal de Ubuntu crée un utilisateur qui a les droits du root via sudo
_ L'installation en expert de Ubuntu crée un compte root.
Dans les deux cas, on peut récupérer par ce biais un compte administrateur de la machine.
Ce qui est encore plus marrant, c'est que ce fichier est accessible en lecture par tous les utilisateurs (contrairement au syslog par exemple).
Personnelement, l'utilisateur que je crée à l'installation c'est l'admin et je n'ai pas le réflexe de changer son mot de passe dès la fin de l'install. Juste après l'install je me suis juste créé un utilisateur non-admin.
J'ai quand même googlelisé sur ce nom de fichier et il n'y a pas des caisses de résultats, mais quand mêne une page sur le Wiki Ubuntu (pour l'install d'un cluster) et ils disent de supprimer ce fichier.
Perso, je pense que c'est un chouia risqué de stocker par défaut le mot de passe un clair dans un fichier accessible par tout le monde. Maintenant, c'est peut être moi qui ne suis pas super au courant des trucs à faire systématiquement.
Je ne sais pas ce que vous en pensez...
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
Poste le Sunday 12 March 2006 14:45:39
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
AlSim
Pour moi, si c'est vrai, c'est un bug de l'installeur, tout simplement ! Ce fichier ne devrait pas exister, ou au moins n'être accessible qu'à root.
C'est un énorme trou de sécurité ce truc. Je serais toi, je ferais un rapport de bug avec priorité maximale.
[catwell.info]
C'est un énorme trou de sécurité ce truc. Je serais toi, je ferais un rapport de bug avec priorité maximale.
[catwell.info]
Poste le Sunday 12 March 2006 14:52:37
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Teotihuacan
J'ai pour l'instant posté dans la section "Sécurité" du forum Ubuntu.
Mais c'est vrai qu'un rapport de bug ne serait pas exclu.
J'aimerais juste savoir si sur Debian aussi c'est la même chose...
Parce que je pense que Ubuntu et Debian ont le même installeur.
A moins que j'attende que dans ma boite ils installent le serveur sur Ubuntu
Je plaisante sur ce point, je n'aurais pas profité de la situation, mais si c'est comme le serveur actuel, il y aurait des comptes utilisateurs restreints pour ssh. C'est assez flippant quand même ce qu'on peut faire...
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
Mais c'est vrai qu'un rapport de bug ne serait pas exclu.
J'aimerais juste savoir si sur Debian aussi c'est la même chose...
Parce que je pense que Ubuntu et Debian ont le même installeur.
A moins que j'attende que dans ma boite ils installent le serveur sur Ubuntu
Je plaisante sur ce point, je n'aurais pas profité de la situation, mais si c'est comme le serveur actuel, il y aurait des comptes utilisateurs restreints pour ssh. C'est assez flippant quand même ce qu'on peut faire...
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
Poste le Sunday 12 March 2006 15:19:28
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Teotihuacan
En fait, j'ai trouvé ce truc en en faisant des recherches sur les installations automatiques Ubuntu/Debian.
Et c'est vrai que c'est intéressant qu'il soit possible de tout automatiser, même le mot de passe de l'admin, mais bon...
PS : C'est noté pour Debian Sarge, merci.
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
Et c'est vrai que c'est intéressant qu'il soit possible de tout automatiser, même le mot de passe de l'admin, mais bon...
PS : C'est noté pour Debian Sarge, merci.
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
Poste le Sunday 12 March 2006 15:24:11
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Teotihuacan
Apparement, sur Breezy, c'est possible de voir le nom de l'utilisateur + le mot de passe, mais sur Dapper, on ne voit (à ce qu'on m'a dit) que le nom de l'utilisateur.
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
Poste le Sunday 12 March 2006 15:29:12
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Basile STARYNKEVITCH
Citation
Teotihuacan
J'aimerais juste savoir si sur Debian aussi c'est la même chose...
Non, je ne crois pas. Sur mes 3 systèmes Debian, aucun n'a de répertoire /var/log/installer/
----
Basile STARYNKEVITCH
Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!
Projet logiciel libre: RefPerSys
Poste le Sunday 12 March 2006 15:32:16
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Léa (Fred)
il est de toutes façon parfaitement stupide de stoker ou que ce soit un mot de passe en clair...
Par exemple dans /etc/shadow, ou /etc/passwd les mots de passe sont stockés via un hashage ce qui fait qu'il faut quand même se taper une attaque au dictionnaire ou brute force pour les récupérer. Là, c'est une faille assez grave je trouve.
Par exemple dans /etc/shadow, ou /etc/passwd les mots de passe sont stockés via un hashage ce qui fait qu'il faut quand même se taper une attaque au dictionnaire ou brute force pour les récupérer. Là, c'est une faille assez grave je trouve.
Poste le Sunday 12 March 2006 15:47:59
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Teotihuacan
en fait...
Je me demande si je n'ai pas fait une connerie en postant sur les forums ce truc... j'aurais du faire un rapport de bug et basta...
J'ai réalisé la connerie en faisant le rapport de bug : il y avait une case qu''on pouvait cocher qui demandait si je souhaitais que le bug ne soit pas publié...
je dis ça parce que c'est quand même sur OSNews... et des serveurs sur Ubuntu, il y en a...
Je me rassure en me disant que c'était pour savoir si seul Ubuntu était touchée et que je ne suis pas le premier à l'avoir remarqué, c'était quand même sur le WIKI d'Ubuntu : [wiki.ubuntu.com]
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
Je me demande si je n'ai pas fait une connerie en postant sur les forums ce truc... j'aurais du faire un rapport de bug et basta...
J'ai réalisé la connerie en faisant le rapport de bug : il y avait une case qu''on pouvait cocher qui demandait si je souhaitais que le bug ne soit pas publié...
je dis ça parce que c'est quand même sur OSNews... et des serveurs sur Ubuntu, il y en a...
Je me rassure en me disant que c'était pour savoir si seul Ubuntu était touchée et que je ne suis pas le premier à l'avoir remarqué, c'était quand même sur le WIKI d'Ubuntu : [wiki.ubuntu.com]
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
Poste le Sunday 12 March 2006 23:57:09
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
pingus
Citation
Teotihuacan
Je me demande si je n'ai pas fait une connerie en postant sur les forums ce truc...
Mais non, faut pas ! Au contraire, grace a toi, je vais pouvoir pirater le réseau de ma fac ! :-))
Poste le Monday 13 March 2006 01:08:13
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Basile STARYNKEVITCH
on parle de ce bogue sur [slashdot.org] et [www.ubuntu.com]
----
Basile STARYNKEVITCH
Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!
Projet logiciel libre: RefPerSys
----
Basile STARYNKEVITCH
Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!
Projet logiciel libre: RefPerSys
Poste le Monday 13 March 2006 07:18:48
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
AlSim
Teotihuacan, tu es célèbre maintenant :-p !
[catwell.info]
Oui, malheureusement certains admins n'ont pas encore compris qu'un serveur devait être stable et sécurisé #%b !Citation
Teotihuacan
Et des serveurs sur Ubuntu, il y en a...
[catwell.info]
Poste le Monday 13 March 2006 07:42:50
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Teotihuacan
Citation
AlSim
Oui, malheureusement certains admins n'ont pas
encore compris qu'un serveur devait être stable et
sécurisé !
Ne tombons pas non plus dans le troll de base sur les distribs...
Ubuntu reste a mon avis une tres bonne distrib.
___Teotihuacan____________________________________
John Lennon se prennait pour Dieu... Moi je me prends pour John Lennon
Poste le Monday 13 March 2006 09:38:32
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
AlSim
Une très bonne distrib pour le poste de travail, certes, mais la (bonne) configuration d'un serveur sous Ubuntu est au moins aussi compliquée que sous Debian, et Ubuntu est basée sur Unstable ...
Mais c'est vrai que ce n'est pas vraiment le sujet.
[catwell.info]
Mais c'est vrai que ce n'est pas vraiment le sujet.
[catwell.info]
Poste le Monday 13 March 2006 09:53:27
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
merlin8282
Sous Debian Sarge, c'est le dossier /var/log/debian-installer/cdebconf/ qu'il faut inspecter ! Donc Basile, nicola et tous les debianneux, à vérifier ;-) . Chez moi, je n'ai rien vu qui puisse être sensible, du moins dans le fichier /var/log/debian-installer/cdebconf/questions.dat .
Cela prouve en tout cas une chose : le maillon le plus faible dans un système est plus souvent qu'on ne le pense humain.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Cela prouve en tout cas une chose : le maillon le plus faible dans un système est plus souvent qu'on ne le pense humain.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Monday 13 March 2006 20:34:14
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Léa (Fred)
Moi après toute installation je lance un :
grep -R "mot de passe en clair" /
en tant que root pour savoir dans quels fichiers se trouve mon mot de passe en clair, et je vois si je les laisse ou si je les efface ...
grep -R "mot de passe en clair" /
en tant que root pour savoir dans quels fichiers se trouve mon mot de passe en clair, et je vois si je les laisse ou si je les efface ...
Poste le Wednesday 15 March 2006 15:32:48
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
merlin8282
/me demande à ce qu'on lui rende son compte et son mot de passe sur Léa : qui sait, Léa peut se faire hacker parce-que Fred laisse les mots de passe en clair sur ses systèmes... #%b __________> []
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Wednesday 15 March 2006 15:41:45
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
nicola
Citation
Léa (Fred)
Moi après toute installation je lance un :
grep -R "mot de passe en clair" /
en tant que root pour savoir dans quels fichiers se trouve mon mot de passe en clair, et je vois si je les laisse ou si je les efface ...
Hé hop, ton mot de passe vient de faire une entrée tonitruante dans /root/bash_history. :-))
--
On ne prête qu’aux riches, et on a bien raison, parce que les autres remboursent difficilement.
-+- Tristan Bernard (1866-1947) -+-
Poste le Wednesday 15 March 2006 18:21:57
Re: Ubuntu (Debian?) : mot de passe en clair ?
Envoyé par:
Léa (Fred)
Parce que tu laisses ton .bash_history toi ?
Poste le Friday 17 March 2006 18:30:36
Page: 1 sur 2
Seuls les utilisateurs enregistrés peuvent poster des messages dans ce forum.
Ce forum !
Ubuntu (Debian?) : mot de passe en clair ?
Débattez, trollez sur les distributions, les logiciels libres ....
Mais attention, débat ne veut pas dire insultes ! Restez courtois, merci.
Nouveau sujet sur ce forumMais attention, débat ne veut pas dire insultes ! Restez courtois, merci.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons