Posible error de seguridad con el cambio rápido de usuario

Imagen de Albaceteman
0 puntos

Hola, se me ha ocurrido utilizar el cambio rápido de usuario y me he encontrado con algo un poco raro. Lo que hago es lo siguiente.

 

1) He habilitado la entrada gráfica como root (sí, ya sé que esto es desaconsejable y potencialmente inseguro).

2) He iniciado sesión con un usuario común.

3) He elegido "Cambiar usuario" en el menú para cerrar sesión/apagar el equipo.

4) Abro sesión como root.

5) Cambio de root al usuario común, me pide contraseña para volver a la sesión.

6) Hago el proceso inverso (del usuario común a root) y no me aparece la pantalla pidiéndome la contraseña de root.

 

Los pasos 5 y 6 los he repetido varias veces y siempre ocurre lo mismo.

 

He buscado algunas palabras clave en el foro y no he encontrado nada que hable de este tema. Lo comento por aquí porque me parece algo un poco raro.

 

Un saludo.

 

Edito: A lo mejor el post es ambiguo. En el paso 6, donde digo que no me aparece la pantalla pidiéndo contraseña, no es que el ordenador se quede colgado al intentar volver a la sesión, sino que se restaura la sesión de root sin pedirme la contraseña antes.

Imagen de Gabriel_M
+1
0
-1

Hola Albaceteman:

¿Cierras la sesión de root? o ¿sólo cambias de usuario? 

Saludos.


Equipo de moderadores del Foro

Normas


+1
0
-1
Imagen de Albaceteman
+1
0
-1

Hola, Gabriel.

 

Sólo cambio de usuario, pero no cierro sesión.

+1
0
-1
Imagen de Gabriel_M
+1
0
-1

Hola:

Entonces no es un fallo de seguridad de Ubuntu, es una falla del usuario root que deja su sesión abierta, para que cualquiera acceda a ella.

Si el usuario root no quiere que accedan a su sesión una vez iniciada, debe ¡¡¡cerrarla!!! antes de pasarle la posta a otro usuario. 

Saludos.


Equipo de moderadores del Foro

Normas


+1
0
-1
Imagen de Albaceteman
+1
0
-1

Hola, Gabriel. 

No sé si me he expresado mal, me vuelvo a explicar.

Teniendo dos sesiones abiertas (una de root y otra de usuario común) hago un cambio rápido entre ambas. Si cambio de root al usuario común me piden contraseña porque es lógico que un usuario no se pueda meter a la sesión de otro sin contraseña. ¿Por qué al intentar cambiar a la sesión de root, que es el administrador del sistema, no pide contraseña? No veo por qué el usuario root va a ser diferente al resto. Por eso veo que la situación es peligrosa, porque alguien en su inconsciencia podría tener un despiste y alguien sin la contraseña de root podría cambiar a esa sesión y armarla.

Cerrar la sesión de root es lo más seguro a todas luces, te doy la razón, pero no es una solución al problema, sino una forma de evitarlo.

+1
0
-1