Кто-то может решить, что мой предыдущий sudo пароль был то, если у них есть доступ к моей машине и моей новой?
Я нашел ошибку и разработчиков, в которых я сообщил об этой ошибке, чтобы хотеть, чтобы я отправил им VM с ошибкой. Они хотят, чтобы я отправил им пароль и VM в его текущем состоянии (снимок). Я не хочу давать им пароль, который я в настоящее время имею для VM, вместо этого я собираюсь изменить пароль для VM к чему-то еще, и я не хочу, чтобы они смогли выяснить, каков мой старый пароль был.
Таким образом, если я изменяю sudo пароль и даю им, снимок машины, с доступом к машине и новому паролю является там каким-либо способом, которым они могли определить старый пароль? Машина является установкой Ubuntu GNOME 15.10 с 64-разрядным GNOME 3.18.
Я в основном просто желаю знать, хранится ли это все еще где-нибудь или что-то, и был ли я более в безопасности просто выполнение новой установки с паролем, который я не возражаю выдавать, или изменяется ли, после того как пароль, старый не может быть восстановлен, и таким образом не имеет значения, если я просто отправляю им снимок с новым паролем.
2 ответа
Нет, пароль только хранится в /etc/shadow и, даже там, он хранится посоливший хеш . Это означает, что, даже если у них есть хеш старого пароля, очень очень трудно получить фактический пароль от него. У Вас был бы к грубой силе он и, если бы это даже возможно, это взяло бы длинный время и намного больше ресурсов, чем кто-либо был бы готов израсходовать только для получения пароля некоторой случайной панды.
В любом случае при изменении пароля запись в /etc/shadow изменяется, и никакая трассировка старого пароля не остается.
необходимо, возможно, послать багажом историю оболочки и удостовериться, что Вы никогда не вводили пароль в простом тексте там:
history | grep yourPassword
Вы могли также, для Вашего душевного спокойствия, запускать полный поиск на всех файлах на виртуальном диске:
find / -type f -exec grep -l "yourPassword" {} +
следят за пространством перед командами. Это делает его так, чтобы команды НЕ были добавлены к истории.
Вы - более обеспеченное создание нового VM, воссоздавая ошибку, затем отправляете ту новую копию разработчикам ни с чем из значения Вам в том, что Вы отправляете им. Если Вы рассматриваете все возможные места, можно получить случайные сохраненные текстовые строки (история оболочки, auth.log, сжатые журналы, и т.д.), у Вас все еще будут сомнения, что Вы думали о них всех или проверили совершенно достаточно.
пример: Введите свой пароль, когда имя пользователя ожидалось, который сохраняется в /var/log/auth.log, старые auth.logs сжаты. Что относительно других логинов как ssh? Уверенный Вы получили все места операционной системы? Теперь рассмотрите, какой вход программа VM может делать. Намного меньше работы, чтобы запуститься с нового, известного чистого VM и копировать ошибку. Кроме того, разработчики будут ценить известное состояние (новая установка), который отображает ошибку.