[Sysadmins] Пароль в /etc/nss_ldap.secret

[Avramenko Andrew]

> Но, имея возможность прочитать установленный пароль, дальше уже не проблема
> войти в систему с этим паролем и поменять его себе (как минимум).
> 
> В любом случае, пароль для доступа к каталогу для получения пароля пользователя
> хранится в открытом виде.
> 
> Вопрос: Можно ли хранить его там _НЕ_ в таком виде?
> Не зависимо от того, рутовый(админский) он или нет.

На рабочих станциях по-моему можно использовать гостевую учетную запись, 
с правами только чтения. Конечно, человек может получить доступ к хэшам 
паролей, но злоумышленник не сможет его применить, не получив оригинал 
пароля, потому что в файлике ldap.secrets _НЕЛЬЗЯ_ использовать хэш 
пароля. Пароль по сети _обязательно_ передается plaintext'ом.

Это всего лишь ИМХО, но по-моему не далекое от реальности.