[7.500][BUG][NOTABUG] fresh build root password blank allowed

hm, ok it´s not very secure to have empty passwords, but it´s even more insecure if you have ASG administrators which log in on the shell with root provileges and are too stupid/lazy/lax/unexperienced to know what they do and "just press three times enter".

Astaro can´t be blamed for _everything_ :-)

hey man, last I was told this is still the beta contest and Astaro wants to be "blamed". :-)

The wrapper program they are using is able to bypass OS level password policy, if this is "confirmed" then I don't think it is only "not very secure". 

Not sure about you but as one working in security and security management, it is our job to be dealing with "stupid/lazy/lax/unexperienced".

Lastly, i will probably put these under feature request but I still like to ask here:

1. Shouldn't setting up root password be part of initial install or the first step via WebAdmin? 
2. why is root able to login to console when there is no password set?

1. Shouldn't setting up root password be part of initial install or the first step via WebAdmin? 

2. why is root able to login to console when there is no password set?

my answer to 1) would be: Astaro´s philiosphy is: normally it is not necessarry at all to go on console level - everything which can be configured on an ASG is configurable on Webadmin level. After initial setup, ssh access is even not alleswed at all - one has to manually activate it. Also, even if you just activate it and do NOT set loginuser and root pws, you cannot connect via ssh - you first have to set the pws. So no need to be that a part of the initial install. Many many customers never have activated ssh and never have logged into the console either, because thei are no linux specialists, and at last when they see the "warranty/support will be  void" message they forget thinking about it.

2) because Astaro expects that the PHYSICAL access to the sequirity equipement is ensured - it makes never sense to have sensible security equipement standing around in a place where anyone else _except_ an admin can go physically to a keyboard and  monitor and do some experiemtns.
Look at if from a different way:  even WHEN you set a very complex, secury, fancy root-password - anyone who has physical access to the console could easily change it by just executing the "lost root password" procedure  so the secure pw is worth nothing.

Just my two bits, but perhaps you also get an official statement from Astaro.

1. Shouldn't setting up root password be part of initial install or the first step via WebAdmin? 

2. why is root able to login to console when there is no password set?

my answer to 1) would be: Astaro´s philiosphy is: normally it is not necessarry at all to go on console level - everything which can be configured on an ASG is configurable on Webadmin level. After initial setup, ssh access is even not alleswed at all - one has to manually activate it. Also, even if you just activate it and do NOT set loginuser and root pws, you cannot connect via ssh - you first have to set the pws. So no need to be that a part of the initial install. Many many customers never have activated ssh and never have logged into the console either, because thei are no linux specialists, and at last when they see the "warranty/support will be  void" message they forget thinking about it.

2) because Astaro expects that the PHYSICAL access to the sequirity equipement is ensured - it makes never sense to have sensible security equipement standing around in a place where anyone else _except_ an admin can go physically to a keyboard and  monitor and do some experiemtns.
Look at if from a different way:  even WHEN you set a very complex, secury, fancy root-password - anyone who has physical access to the console could easily change it by just executing the "lost root password" procedure  so the secure pw is worth nothing.

Just my two bits, but perhaps you also get an official statement from Astaro.