La sostituzione e il piping del comando impediscono a occhi indiscreti di vedere la password hash passata dal processo A al B?

7

Questo è vagamente correlato a una delle mie recenti risposte . Ho elencato 4 metodi per aggiungere un nuovo utente tramite mkpasswd e useradd combinazione su Ubuntu 16.04.

  1. Sostituzione comando:

    sudo -p ">" useradd -m -s /bin/bash -p $(mkpasswd --hash=SHA-512 "123" ) newusr 
    
  2. Quotazione singola:

    sudo -p ">" useradd -m -s /bin/sh -p 'GVhvDY$vhw89D2X0bd2REQWE' newusr2
    
  3. Passaggio tramite pipe a xargs :

    mkpasswd -m sha-512 'password1' | sudo -p '>' xargs -I % useradd -p % newuser1 
    
  4. Aggiunta di backslash a ogni $

    useradd -m -s /bin/bash -p \\AfGzrQ9u\$r6Q7Vt6h8f2rr4TuW4ZA22m6/eoQh9ciwUuMDtVBX31tR3Tb0o9EB1eBdZ2L9mvT.pX3dIEfxipMoQ0LtTR3V1 newuser
    

Nel caso dei metodi 4 e 2, è chiaro che la password hash appare nell'elenco dei processi; questo non è completamente sicuro. Tuttavia, sono curioso dei metodi 3 e 1. La sostituzione e il piping del comando impediscono a un utente malintenzionato di ottenere in qualche modo la password con hash? L'utente malintenzionato può leggere in qualche modo stdout o stdin di entrambi i comandi?

    
posta Sergiy Kolodyazhnyy 04.12.2017 - 04:01
fonte

1 risposta

1

Sebbene l'approccio possa avere alcuni vantaggi, ci sono diversi modi in cui la password può ancora essere intercettata.

La cronologia di bash mostrerà la password in chiaro, il comando makepasswd potrebbe essere compromesso, la shell potrebbe essere compromessa e così via. Ci sono poche ragioni per farlo onestamente. In generale, ciò che un hacker può fare dipende molto dai suoi privilegi, ma non prenderei in considerazione entrambi questi approcci più o meno sicuri. Per quanto posso dire, 1 e 3 sono quasi gli stessi in termini di sicurezza. Una pipe può sembrare migliore, in quanto ignora la shell, ma shell ha già la password in testo semplice, quindi non c'è davvero motivo di preoccuparsene. Comunque, probabilmente andrei con la pipa.

PS: entrambi possono ancora mostrare la password in testo semplice nell'elenco dei processi mentre è in esecuzione makepasswd.

    
risposta data 20.04.2018 - 13:09
fonte

Leggi altre domande sui tag