Kirjoittaja Aihe: Tietoturva-asioita  (Luettu 6146 kertaa)

Vapaan koodin kananmuna

  • Käyttäjä
  • Viestejä: 1536
    • Profiili
Tietoturva-asioita
« : 13.03.06 - klo:00.22 »
Taas yksi hyvä syy vaihtaa salasanaa tarpeeksi usein. Katsokaapa mieleisellänne tekstieditorilla tiedoston /var/log/installer/cdebconf/questions.dat sisälle ja hakekaa vaikka termillä passwd, siellä se on selkokielisenä teidän asennuksessa kirjoittamanne salasana.
En Vastaa Vaikeisiin Kysymyksiin.

th

  • Käyttäjä
  • Viestejä: 6
    • Profiili
Re: Tietoturva-asioita
« Vastaus #1 : 13.03.06 - klo:01.00 »
Mutta eipä sieltä rootin salasanaa sentään löydy.

Vapaan koodin kananmuna

  • Käyttäjä
  • Viestejä: 1536
    • Profiili
Re: Tietoturva-asioita
« Vastaus #2 : 13.03.06 - klo:01.11 »
Niin, se onkin vaikeaa kirjoittaa sudo su. :) Paikallinen haavoittuvuushan tämä on, eikä sikäli useimmilla käyttäjillä ole aihetta paniikkiin. Salasanan vaihto tietysti pitää tehdä.
En Vastaa Vaikeisiin Kysymyksiin.

juminy

  • Käyttäjä
  • Viestejä: 500
    • Profiili
Re: Tietoturva-asioita
« Vastaus #3 : 13.03.06 - klo:06.08 »
Kiitos tiedosta, mistähän kaikkialta muualta salasana löytyy... :)

Owdy

  • Käyttäjä
  • Viestejä: 1954
    • Profiili
Re: Tietoturva-asioita
« Vastaus #4 : 13.03.06 - klo:06.14 »
Mä en löytänyt muuta kuin käyttäjätunnuksen. Salasanaa en.
http://forum.ubuntu-fi.org/index.php?topic=2327.msg16283#msg16283
« Viimeksi muokattu: 13.03.06 - klo:06.26 kirjoittanut Osku »

juminy

  • Käyttäjä
  • Viestejä: 500
    • Profiili
Re: Tietoturva-asioita
« Vastaus #5 : 13.03.06 - klo:06.27 »
Mulla löytyi ihan salasanakin, tosin olin kyllä vaihtanut asennuksen jälkeen.

Mitä mä nyt missaan kun poistin tämän: /var/log/installer/cdebconf/questions.dat
niin tämäkin: /var/log/debian-installer/cdebconf/questions.dat
lähti samalla? Newbie ei taaskaan osaa... :)

jemaku

  • Käyttäjä
  • Viestejä: 328
    • Profiili
Re: Tietoturva-asioita
« Vastaus #6 : 13.03.06 - klo:06.32 »
Mitä mä nyt missaan kun poistin tämän: /var/log/installer/cdebconf/questions.dat
niin tämäkin: /var/log/debian-installer/cdebconf/questions.dat
lähti samalla?
Minun käsittääkseni tuo debian-installer juttu oli vain linkki tuohon toiseen tiedostoon. (Itselläni ei kyllä ollut koko linkkiä tai muutakaan ongelmaa, kun asennus on päivitetty 5.04:stä)

jniiranen

  • Käyttäjä
  • Viestejä: 127
    • Profiili
Re: Tietoturva-asioita
« Vastaus #7 : 13.03.06 - klo:07.25 »
Multa kans ei löytyny sieltä salasanaa vaikka muistaakseni laitoin sen asennuksessa.  :D
Voipi ehkä johtua siitä että olen tämän ohjeen: http://forum.ubuntu-fi.org/index.php?topic=134.0
mukaan muuttanut ettei ilman salasanaa voi mennä ubuntuun edes recovery tilassa ja että salasana on gryptattu..  ;D
Sudo su komennollahan ei voi muuttaa salasanaa ellei tiedä sitä..   ;)

T.M

  • Käyttäjä
  • Viestejä: 172
    • Profiili
Re: Tietoturva-asioita
« Vastaus #8 : 13.03.06 - klo:10.46 »
Karmee kämmi asennusohjelman tekijöiltä. Edes tuollaisen mahdollisuuden jättäminen kertoo asiantuntemuksen puutteesta.

Taidan vaihtaa jatkossa asennukset debianiin jos tällaiset sankarit saavat jatkossa tehdä installereita ubuntuun. Pelottaa edes ajatella mitä muuta ne on saanu liimailtua.

tuke81

  • Käyttäjä
  • Viestejä: 1667
    • Profiili
Re: Tietoturva-asioita
« Vastaus #9 : 13.03.06 - klo:11.45 »
Mitä mä nyt missaan kun poistin tämän: /var/log/installer/cdebconf/questions.dat
niin tämäkin: /var/log/debian-installer/cdebconf/questions.dat
lähti samalla?
Minun käsittääkseni tuo debian-installer juttu oli vain linkki tuohon toiseen tiedostoon. (Itselläni ei kyllä ollut koko linkkiä tai muutakaan ongelmaa, kun asennus on päivitetty 5.04:stä)

Sama täällä, nähtävästi vain breezyn onkelma. Kyllä alkaa tuntumaan että breezy on ollut oikea kovan onnen versio, toivottavasti tälläisista pikkuvioista on otettu opiksi dapperia tehdessä. Hoaryssa toimi lähes kaikki, breezyssa joutuikin sitten säätämään vähän enempi.
Miksi tehdä jotain helposti, kun sen voi tehdä vaikeastikin...

anagrammi

  • Käyttäjä
  • Viestejä: 38
    • Profiili
Re: Tietoturva-asioita
« Vastaus #10 : 13.03.06 - klo:15.05 »
Onko joku jo tehnyt tästä ilmoituksen Ubuntun kehittäjille?

Heille ei varmaankaan olisi iso homma laittaa seuraavaan tietoturvapäivitys pakettiin komento, joka poistaa tuon tiedoston. Kun googletin tuolla tiedostolla, niin löytyi joku klusteri asennuksen post-install-skripti, joka näyttää poistavan tuon tiedoston, joten arvaukseni on, että se ei ole elintärkeä tiedosto.

Tietoturvapäivityksenä korjaus voisi mennä myös niille, jotka eivät aktiivisesti seuraa tätä palstaa, mutta ottavat vastaan tarjotut päivitykset.

Anagrammi

Vapaan koodin kananmuna

  • Käyttäjä
  • Viestejä: 1536
    • Profiili
Re: Tietoturva-asioita
« Vastaus #11 : 13.03.06 - klo:15.18 »
Päivitys on ollu jo monta tuntia. Päivitys poistaa salasanan logista ja asettaa oikeudet 600 sille tiedostolle.
En Vastaa Vaikeisiin Kysymyksiin.

dhc7

  • Käyttäjä
  • Viestejä: 49
    • Profiili
Re: Tietoturva-asioita
« Vastaus #12 : 13.03.06 - klo:15.24 »
Onko joku jo tehnyt tästä ilmoituksen Ubuntun kehittäjille?

Kyllä se kehittäjän tiedossa on, asiasta voi lukea lisää tässä viestissä. Ja kuten Kannisto sanoikin, päivitykset tulivat jo.

Owdy

  • Käyttäjä
  • Viestejä: 1954
    • Profiili
Re: Tietoturva-asioita
« Vastaus #13 : 13.03.06 - klo:17.11 »
Onko joku jo tehnyt tästä ilmoituksen Ubuntun kehittäjille?
->
Siihen on jo fiksaus tehty. http://www.ubuntu.com/usn/usn-262-1 . Ajakaa päivitykset sisään. Mulla ei löydy kuin käyttäjätunnus.
Tolla voi testata oletteko haavoittuvaisia http://www.ubuntuforums.org/showpost.php?p=818304&postcount=74


juminy

  • Käyttäjä
  • Viestejä: 500
    • Profiili
Re: Tietoturva-asioita
« Vastaus #14 : 13.03.06 - klo:18.32 »
Karmee kämmi asennusohjelman tekijöiltä. Edes tuollaisen mahdollisuuden jättäminen kertoo asiantuntemuksen puutteesta.

Taidan vaihtaa jatkossa asennukset debianiin jos tällaiset sankarit saavat jatkossa tehdä installereita ubuntuun. Pelottaa edes ajatella mitä muuta ne on saanu liimailtua.

No ainahan sita sattuu kun hakataan... Mutta olisi tuossa kylla ihan testikeissin poikanen, eli asennusohjelman testauksessa saisi kylla asennuksen jalkeen tarkistaa, ettei levylla missaan ole asennuksessa annettua salasanaa sellaisenaan. En tieda yhtaan miten naiden testausta tehdaan, mutta tuon voisi lisata automaattisesti tehtavaksi, luultavasti joku testiskripti nyt ajetaan kuitenkin.

Ps. skandit puuttuu, koska niita ei duunikoneen nappiksessa ole.

JPK1990

  • Vieras
Re: Tietoturva-asioita
« Vastaus #15 : 13.03.06 - klo:18.40 »
mulla tulee ilmoitus oikeuksien puuttumisesta

Owdy

  • Käyttäjä
  • Viestejä: 1954
    • Profiili
Re: Tietoturva-asioita
« Vastaus #16 : 13.03.06 - klo:21.22 »
mulla tulee ilmoitus oikeuksien puuttumisesta
No sehän on positiivista.