L'utilità sshpass non è sicura rispetto all'autenticazione della password ssh manuale?

6

Ho intenzione di automatizzare la copia di un file di grandi dimensioni su un server remoto su ssh usando rsync, usando il seguente comando:

sshpass -p '<PASS>' rsync --partial -av --progress --inplace --rsh='ssh -p 22' ${TAR_PATH} <SERVER_IP>:

Questo comando verrà eseguito tramite Jenkins. L'operatore inserirà la password in Jenkins.

Sto usando sshpass qui per fornire automaticamente la password a ssh. È insicuro rispetto all'operazione ssh manuale? Se eseguo manualmente rsync senza sshpass, sarà più sicuro in ogni modo?

    
posta amolkul 13.01.2014 - 12:34
fonte

2 risposte

5

È meno sicuro che farlo manualmente, ma se stai usando Jenkins, stai chiaramente cercando di automatizzare. Detto questo, presta attenzione alla home page di sshpass quando dice:

Most users should use SSH's more secure public key authentication instead.

L'uso di sshpass lascerà probabilmente la password in chiaro nei file di registro e / o nei log della cronologia dei comandi, il che è altamente indesiderabile. Una chiave senza password sarebbe più sicura di quella.

    
risposta data 13.01.2014 - 15:09
fonte
1

È meno sicuro finché non elimini il rischio di esporre le password a terzi.

C'è un problema se il comando sshpass è ancora in esecuzione e altri utenti, anche con privilegi di accesso limitati, possono inviare un comando ps. La password potrebbe apparire temporaneamente nell'elenco come parte della chiamata di processo anche al di fuori dei registri e delle cronologie dei comandi, ignorando le restrizioni della visualizzazione dei file. Questi funzionano solo per la lettura diretta dei file di registro e di cronologia in atto.

Esistono più soluzioni per leggere la password in stdin da una risorsa esterna per evitare di mostrarla nella chiamata di processo. È oltre lo scopo di questa risposta indicare alcune soluzioni.

Devi ancora controllare se l'accesso alle password memorizzate altrove è abbastanza sicuro per le tue esigenze.

    
risposta data 11.06.2018 - 17:54
fonte

Leggi altre domande sui tag