URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 15377
[ Назад ]

Исходное сообщение
"(Linux) Пароли в свопе -- в открытом виде"
Отправлено Antonio , 29-Мрт-02 12:09

Доброго времени суток всем!
На
http://www.linux.org.ru:8100/jump-message.jsp?msgid=171980&l...
разгорелся флейм на тему того, что в свопе наблюдаются в открытом виде пароли, под которыми логинились на эту машину.
Хотелось бы увидеть не столь эмоциональные, но более аргументированные мнения на эту тему.
_Лично_мое_ мнение таково: это не столь страшно, хотя и нехорошо (хотя, быть может, стоило в pam и login чистить за собой память или ставить ее как unswappable). Почему я считаю, что не столь опасно? Доступ к свопу имеют только пользователи с euid=0, а им пароли других пользователей не столь необходимы для просмотра и модификации чужой информации. Случай перезагрузки машины и сливания свопа каким-либо образом на некий носитель я по понятным соображениям не рассматриваю.
P.S. Ссылка почему-то вставляется некорректно (добавляется лишняя точка с запятой). В качестве дополнительной наводки -- это тред под названием "На кой черт???" в форуме "Admin". Местонахождение -- первая (может быть, уже вторая) страница.

Содержание

RE: (Linux) Пароли в свопе -- в открытом виде,lavr, 13:23 , 29-Мрт-02

Сообщения в этом обсуждении

"RE: (Linux) Пароли в свопе -- в открытом виде"
Отправлено lavr , 29-Мрт-02 13:23

>Доброго времени суток всем!
>
>На
>
>http://www.linux.org.ru:8100/jump-message.jsp?msgid=171980&l...
>
>разгорелся флейм на тему того, что
>в свопе наблюдаются в открытом
>виде пароли, под которыми логинились
>на эту машину.
>
>Хотелось бы увидеть не столь эмоциональные,
>но более аргументированные мнения на
>эту тему.
>
>_Лично_мое_ мнение таково: это не столь
>страшно, хотя и нехорошо (хотя,
>быть может, стоило в pam
>и login чистить за собой
>память или ставить ее как
>unswappable). Почему я считаю, что
>не столь опасно? Доступ к
>свопу имеют только пользователи с
>euid=0, а им пароли других
>пользователей не столь необходимы для
>просмотра и модификации чужой информации.
>Случай перезагрузки машины и сливания
>свопа каким-либо образом на некий
>носитель я по понятным соображениям
>не рассматриваю.
>
>P.S. Ссылка почему-то вставляется некорректно (добавляется
>лишняя точка с запятой). В
>качестве дополнительной наводки -- это
>тред под названием "На кой
>черт???" в форуме "Admin". Местонахождение
>-- первая (может быть, уже
>вторая) страница.
вобщем-то все верно, есть технологии и не нужно
кричать с бухты-барахты, а подумать как эти
технологии работают, будь-то swap или кэш
простой пример:
имеем swap
выполняем su - вопрос, будет ли набранный пароль
отображен в swap'е?
хотим зайти куда-либо используя:
client protocol://myname:mypass@hostname/
будет виден пароль в свапе или кэше?
разница в обоих случаях на лицо
Соответственно, массу вещей можно избежать если
правильно пользоваться: второй shell, .netrc,
и тд и тп
Верхние примеры характерны при локальной работе,
все тоже самое относится и к различным проксям
- проброс ли это данных или авторизация...
Ну и вполне очевидно - доступ к свопу, кэшу.
Так что ничего необычного.