El día 18 de noviembre de 2011 08:30, Diego Sanchez <dieg...@gmail.com> escribió: > El 18 de noviembre de 2011 09:23, Marc Olive <marc.ol...@blauadvisors.com> > escribió: >> >> On Friday 18 November 2011 13:12:19 José Ramón Rubio wrote: >> > Hola, >> > >> > He observado un comportamiento que a mi juicio sería un fallo de >> > seguridad, pero nose que os parece.. >> > >> > - Desde este momento y hasta que se cierre sesión, cualquier usuario >> > sin privilegios de administrador, puede abrir un terminal y con el >> > comando siguiente: strace -o fich gksu ls, en el fichero "fich" va a >> > poder localizar la contraseña de administrador pero almacenada en >> > texto plano. >> >> No es verdad. >> >> "gksu ls" solo se ejecutará con permisos de administrador si quien lo >> ejecuta >> es el mismo usuario que préviamente ha invocado gksu recordando la >> contraseña, >> los otros usuario del sistema no tiene acceso a esta información. >> Y los otros usuarios tampoco tienen acceso al espacio de memoria del resto >> como para saber sus llamadas a los procesos del sistema con strace. >> >> > Saludos. >> >> Saludos, >> > > Eso no quitas que te vayas 5 minutos al baño, dejes la maquina logueada, > vaya alguien, tracee fitch, y te capture la clave > -- > Diego - Yo no soy paranoico! (pero que me siguen, me siguen) > | http://about.me/diegors/bio
Haber Diego, como información... todo esta muy bien! Pero si alguien introduce la contraseña de root (con opcion para ser recordada durante toda la sesion) y se para de su puesto de trabajo (para hacer lo que sea) y le "capturan" la clave del root (o instalan un troyano, rootkit, etc...) aprovechando que el BOFH no está y dejo su sesion sin bloqueo :P Eso no es un BUG del SO, ni de gksu, sino del BOFH. Saludos a todos. -- Ali Moreno Blog: http://r3c4ll.blogspot.com YouTube: http://www.youtube.com/r3c4ll Twitter: @r3c4ll "A la persona no se le conoce por lo que sabe, sino por lo que hace con lo que sabe" Martin Luther King -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAM2x6FRoKMM=zs+cqlmuojobvajnaewmaldlavjc-dshrz_...@mail.gmail.com