Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

V nástroji Cryptkeeper, tj. appletu určeném pro správu adresářů šifrovaných pomocí EncFS, byla nalezena chyba (Debian BTS, Cryptkeeper Issue), jež způsobí, že heslo k zašifrovanému adresáři je nastaveno na "p" bez ohledu na vstup uživatele [reddit].

Komentáře

není něco podobnýho na su? zapomněl jsem u starýho notasu heslo na roota a docela by se mi ted něco takovýho hodilo

31.1.2017 13:00 motyq
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

stačí bootnout s linux=single

31.1.2017 13:03 marek_hb
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

vím, ale takhle by to bylo jednodušší :)

31.1.2017 13:47 Sten
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

Nestačí, single spustí sulogin a to se jako první zeptá na heslo roota.

Stačí ale nabootovat s init=/bin/bash.

31.1.2017 21:28 BFU
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

Jo jo, gor kdyz nemas bash ;-)

/bin/sh kdyz tak ...

I do not think this is a bug in cryptkeeper and cryptkeeper is doing here what everybody else i know does.
The problem is in encfs somehow not behaving as expected in debian.
Below is output that shows how the latest version of encfs works and what cryptkeeper expects

Ne, už nebudu psát nic o tom, že některým lidem by se měl vývoj zakázat. Nebudu.

Tahle citace zatím vyhrává cenu o nejlepší antibezpečnostní výrok v roce 2017. Jistě jich bude celkově daleko víc ... No, alespoň víme, jaký nástroj nepoužívat.

Heron

31.1.2017 14:48 ZiGi
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

hlavne, ked ja uz roky (cca 5) bez zmeny pouzivam v pam_script_auth nieco taketo:


su -c "encfs /home/.enc/$PAM_USER/ $uhome --idle=1 -S -o nonempty,allow_root" $PAM_USER <<.EOF
$PAM_AUTHTOK
.EOF

tazko mozu tvrtit, ze sa interface zmenil vcera, ze.

31.1.2017 18:00 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

pokud to chápu tak cryptkeeper očekával nějaký interface na příkazové řádce encfs (encfs -S) a ten se změnil.

31.1.2017 18:10 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

Ano. A to je právě špatně. Interaktivní přístup není určen k použití ve skriptech. Takže odhadovat, že teď se tam má poslat "p <enter>" a potom "heslo <enter>" je dost nešťastné. Protože potom to skončí tak, že heslo je "p".

Nehledě na to, že --stdinpass není určeno pro vytvoření fs, ale jen pro mount:

However, please note that "-S" has never been meant to be used when creating a filesystem. From man 1 encfs:
-S, --stdinpass Read password from standard input, without prompting. This may be useful for scripting encfs mounts. Note that you should make sure the filesystem and mount points exist first. Otherwise encfs will prompt for the filesystem creation options, which may interfere with your script.

Heron

31.1.2017 19:48 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

Tak na interaktivní vstup by se mělo používat něco jak expect, kde alespoň víš, když se změní interface.

blog.rfox.eu | DREAMLAND

31.1.2017 22:11 ed | skóre: 18
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

!!!!!

presne toto

to je aka lamerina len tak tam vygrcat ze y\n, y\n, a potom p\n a potom heslo?

ten nastroj je rozbity uz len preto, ze sa chova tak, ako sa chova. mozno by som to prepacil nejakemu custom shellskriptu, ktory som si napisal niekde na automatizaciu vytvarania zvazkov, ale nie pre bezpecnostny nastroj.

1.2.2017 19:37 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

To je špatně, to je jasné. Na druhou stranu v man stránce encfs jsem nenašel žádnou možnost, jak vytvoření encfs odskriptovat. Což efektivně zablokuje jednoduchou možnost, jak vytvořit grafickou nastavbu. Jediné, co si dokážu představit, je vzít zdroják a ten integrovat primo do grafické nadstavby a hlídat, jak se bude měnit.

Trochu to vnímám tak, jakoby zoufalec se pokusil vytvořit grafickou nadstavbu a díky tomu, že nic jiného neměl, tak použil ten interaktivní režim.

1.2.2017 23:24 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

Tak reseni porad je neco ala jiz zminovany expect. Cist vystup a v zavislosti na nem posilat na vstup. Pokud se vystup zmeni na nejakou neznamou situaci, tak zhavarovat a oznamit ze je neco blbe.

I can only show you the door. You're the one that has to walk through it.

2.2.2017 07:42 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

Se přiznám že ani toto se mi nelíbí. Narážím na to i v různých ansible a chef play / cook boocích a nejsem z toho vůbec nadšený. Prostě pokud program předpokládá interaktivní zacházení, tak se nemá volat v automatickém skriptu. K tomu ten program není určen, možná si to jeho autor ani nepřeje a možná třeba ani neví, že to někdo chce používat neiteraktivně. Potom je na místě ukecat autora, poslat patch nebo co já vím a nebo ten program prostě nepoužívat.

Heron

2.2.2017 14:51 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

Tak ono to asi bude jak ktery nastroj, je fakt ze nektery maji interaktivni rezim udelany slusne pouzitelny (cilene) i pro scriptovani. Encfs jsem tak nidky pouzivat nezkousel, ma reakce je pouze teoreticka. (Tak a ted jsem si nabehl...)

I can only show you the door. You're the one that has to walk through it.

Fajn, takže si aktualizuji a nyní to bude pp? :-D

Je mi to u (_!_), protože bezpečnost v informatice neexistuje a manželka neví, jak tuhle zranitelnost zneužít, aby se dostala do mého soukromého archivu :-)

Takže se vlastně nic zvláštního nestalo. Mimochodem, mé heslo z uživatelského vstupu bylo a. Takže kdyby někdo použil generátor znaků, nejedná se o bug, ale o zvýšení bezpečnostní úrovně.

fuck the cola, fuck the pizza, all you need is slivovitza

31.1.2017 23:18 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

A teď vážně... to si ku*va dělají ze mně (_!_)?????? Takže já jako úplný ču*ák denně vypisuju heslo o 20 alfanumerických znacích, abych ve finále soubory šifroval heslem p? Tak to běžte do 3,14či. To říkám furt, že security by obscurity je jediná možnost, jak se v tomhle špinavém světě chránit.

fuck the cola, fuck the pizza, all you need is slivovitza

2.2.2017 11:43 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

to si ku*va dělají ze mně (_!_)?????? Takže já jako úplný ču*ák denně vypisuju heslo o 20 alfanumerických znacích, abych ve finále soubory šifroval heslem p? Tak to běžte do 3,14či.

No, ale zase sis prosvištil mozek a to heslo si líp pamatuješ, ne? :-D

3.2.2017 01:10 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Chyba v Cryptkeeperu: heslo je nastaveno na "p" bez ohledu na vstup uživatele

Mozek je v pohodě, prokrvený, procvičený, ale ruce z toho bolí :-)

Hele právě proto si třeba neukládám čísla plat.karet do těch různých peněženek. Líbí se mi třeba 20x denně zadávat číslo platební karty. Procvičuju si tím mozek.

fuck the cola, fuck the pizza, all you need is slivovitza