Questo è vagamente correlato a una delle mie recenti risposte . Ho elencato 4 metodi per aggiungere un nuovo utente tramite mkpasswd
e useradd
combinazione su Ubuntu 16.04.
-
Sostituzione comando:
sudo -p ">" useradd -m -s /bin/bash -p $(mkpasswd --hash=SHA-512 "123" ) newusr
-
Quotazione singola:
sudo -p ">" useradd -m -s /bin/sh -p 'GVhvDY$vhw89D2X0bd2REQWE' newusr2
-
Passaggio tramite pipe a
xargs
:mkpasswd -m sha-512 'password1' | sudo -p '>' xargs -I % useradd -p % newuser1
-
Aggiunta di backslash a ogni
$
useradd -m -s /bin/bash -p \\AfGzrQ9u\$r6Q7Vt6h8f2rr4TuW4ZA22m6/eoQh9ciwUuMDtVBX31tR3Tb0o9EB1eBdZ2L9mvT.pX3dIEfxipMoQ0LtTR3V1 newuser
Nel caso dei metodi 4 e 2, è chiaro che la password hash appare nell'elenco dei processi; questo non è completamente sicuro. Tuttavia, sono curioso dei metodi 3 e 1. La sostituzione e il piping del comando impediscono a un utente malintenzionato di ottenere in qualche modo la password con hash? L'utente malintenzionato può leggere in qualche modo stdout
o stdin
di entrambi i comandi?