LINUX.ORG.RU

Ответ на: комментарий от anonymous

А в чем дырка? Неправильный результат, тоже результат, в этом? Дырка, если дать право просматривать btmp всем подряд, тогда в случае дурной ошибки набора пароля вместо логина можно получить ценную информацию.

anonymous
()

Понятно, что в открытом виде паролей не увидеть. А хэши неправильных паролей как-нибудь логгировать можно?

anonymous
()
Ответ на: комментарий от anonymous

Дырка вытекает из аксиомы о том, что нельзя хранить пароли в открытом виде. Допустим честный рут случайно попытался залогиниться с выжатым капслоком. Ошибка авторизации, и его пароль сохраняется где-то, а это "где-то" так же случайно доступно по чтению кому-то ещё (ну, скажем кто-то проводит обслуживание и ему дали прав немеряно). Утечка нерутового пароля к другому пользователю тоже ничего хорошего не обещает.

anonymous
()

У меня такая идея по этому поводу: накарябать pam модуль, который будет шифровать пароль неудачной попытки на открытом ключе одмина и пихаца в лог. Могу на досуге реализовать (= Как думаете, потребность будет? Кстати, нет ли систем ведения логов, которые бай десигн шифруют данные?

vasily_pupkin ★★★★★
()
Ответ на: комментарий от vasily_pupkin

в принципе, это тоже будет существенным изъяном в безопасности - все когда-то введённые пароли оказываются в зависимости об будущего взлома потороннего ключа. Я бы постарался не иметь аккаунтов на такой системе.

Особенно дыряво будет, если при шифровании не "солить".

Непонятно, зачем это вообще может быть нужно. Хочется узнать, один пароль вводили или разные? Пять попыток было или пять миллионов? Для этого вовсе не нужно записывать сами пароли.

alexsaa
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.