那些遇到过的问题

Shell脚本密码命令行参数的安全性

Dav*_*rks 6 linux bash command-line password-protection command-line-arguments

如果我使用密码作为命令行参数,则在系统上使用密码ps.

但是,如果我在一个bash shell脚本中,我会做类似的事情:

...
{ somecommand -p mypassword }
...
Run Code Online (Sandbox Code Playgroud)

这仍然会出现在流程列表中吗?或者这样安全吗?

  • 子流程怎么样:(...)?不安全吧?
  • 共处理?

seh*_*ehe 6

命令行将始终可见(如果仅通过/ proc).

所以唯一真正的解决方案是:不要.您可以在stdin或专用的fd上提供它:

./my_secured_process some parameters 3<<< "b@dP2ssword"
Run Code Online (Sandbox Code Playgroud)

像一个脚本(简单第一)

#!/bin/bash
cat 0<&3
Run Code Online (Sandbox Code Playgroud)

(此示例只会将错误密码转储到stdout)

现在您需要关注的是:

  • MITM(屋檐丢弃密码的欺骗脚本,例如通过破坏PATH)
  • bash历史记录在命令行中保留您的密码(例如,查看HISTIGNORE的bash)
  • 包含密码重定向的脚本的安全性
  • 所使用的tty的安全性; 键盘记录器; ......正如你所看到的,我们现在已经陷入了"一般安全原则"

  • [显然](http://unix.stackexchange.com/a/181996),"bash中的here-strings实现为已删除的临时文件".如果这意味着他们可以将其转换为磁盘,那么这是另一个安全考虑因素.可能更好地使用进程替换[如此处](http://stackoverflow.com/a/24455773):`./ my_secured_process一些参数3 <<(printf'%s \n'b @ dP2ssword) (2认同)

归档时间:

查看次数:

9780 次

最近记录:

14 年,2 月 前
在纯粹的bash中将密码传递给ssh 36
在Unix上隐藏命令行参数的秘密 31
更多相关链接
相关归档
为什么这个命令会杀死我的shell? 41
在一行的最后一个字段上排序 35
在Docker容器中挂载SMB/CIFS共享 34
检查进程是否仍在运行? 24
java TrayIcon使用图像与透明背景 22
确定C++中的Linux或Windows 22
如何在Mac OS X上执行Raw IO?(即相当于Linux的O_DIRECT标志) 15
在Linux上安装ruby-filemagic gem时缺少库 15
sudo -E 不通过 PYTHONPATH 6
如何自动完成别名为单个命令的多级命令? 5
难疑归档
撤消尚未推送的Git合并 3695
如何从列表列表中制作一个平面列表? 2950
不区分大小写'包含(字符串)' 2785
迭代字典的最佳方法是什么? 2455
在jQuery中检测移动设备的最佳方法是什么? 1564
如何使用Bash将stdout和stderr重定向并附加到文件中? 1440
const和readonly有什么区别? 1269
如何正确强制推送Git? 1206
如何让jQuery执行同步而非异步的Ajax请求? 1173
群集和非群集索引实际上意味着什么? 1041