我有一个脚本,它在自身内部启动一个带有秘密参数的命令。例如:
#!/bin/bash
command-name secret
在运行命令时,我可以阅读 ps -ef | grep command-name 这是秘密。
有没有什么办法可以通过ps -ef,混淆命令行参数?
【问题讨论】:
首先,您不能隐藏命令行参数。在启动程序时(在程序有机会对参数进行运行时更改之前),其他用户仍然可以通过ps aux 和cat /proc/$YOUR_PROCESS_PID/cmdline 看到它们。好消息是,您仍然可以通过使用替代方案来获得秘密:
使用环境变量 (with caveats)。如果您的程序可以读取它们,请执行以下操作:
mySecret='hello-neo' myCommand
使用标准输入:
mySecret='hello-neo' printenv mySecret | myCommand
如果您想保持秘密与主脚本分离,请使用专用文件(请注意,建议您使用全盘加密并确保文件具有正确的chmod 权限):
cat /my/secret | myCommand
使用临时文件描述符:
myCommand <( mySecret='hello-neo' printenv mySecret )
在最后一种情况下,您的程序将像myCommand /dev/fd/67 一样启动,其中/dev/fd/67 的内容是您的秘密(本例中为hello-neo)。
在上述所有方法中,请注意不要将命令留在 bash 命令历史记录中 (~/.bash_history)。您可以通过从脚本(文件)运行命令或每次以交互方式提示自己输入密码来避免这种情况:
read -s mySecret && export mySecret
myCommand # approach 2
printenv mySecret | myCommand # approach 3
myCommand <( printenv mySecret ) # approach 4
【讨论】:
ps -ef的输出中是这样的:/xware/lib/EmbedThunderManager ******************************************
mysql -u root -p mypassword 在top 和ps -ef 中都显示为mysql -u root -px xxxxxxxxxx。这与滚动或截断无关。
cat /proc/1234/environ | tr '\0\033' '\n~' 将显示环境变量,只要您有权限(root 或所有者)。一旦进程运行,隐藏 env vars (setenv) 可能更容易,但在进程能够隐藏数据之前,攻击者仍有一段时间读取文件。嗅探进程不一定有太少的权限来读取敏感进程的环境。
如果秘密在执行之间没有改变,请使用一个特殊的配置文件,".appsecrets"。将文件的权限设置为所有者只读。在文件中为密钥设置一个环境变量。该文件需要位于运行该命令的用户的主目录中。
#!/bin/bash
#filename: .appsecrets
set SECRET=polkalover
加载配置文件以便设置环境变量。
. ~/.appsecrets
我所看到的:
1)echo $SECRET | command
如果命令提示输入来自 stdin 的密码并且如果 'echo' 是你的 shell 的内建函数,则可以工作。我们使用的是 Korn。
2)password=$ENV{"SECRET"};
如果您可以控制代码(例如在 perl 或 C++ 中),则可以使用
3). ./.app.config #sets the environment variables
isql -host [host] -user [user] -password <<SECRET
${SQLPASSWORD}
SECRET
如果命令可以接受来自 std-in 的秘密,则有效。一个限制是<<string 必须是给命令的最后一个参数。如果在 -password 之后必须出现非可选参数,这可能会很麻烦
这种方法的好处是您可以安排它,以便在生产中隐藏秘密。在生产中使用相同的文件名,但它将位于在生产中运行命令的帐户的主目录中。然后,您可以像访问 root 帐户一样锁定对机密的访问。只有某些人可以“su”到 prod 帐户以查看或维护机密,而开发人员仍然可以运行该程序,因为他们在其主目录中使用自己的“.appsecret”文件。
您可以使用这种方法为任意数量的应用程序存储安全信息,只要它们使用不同的环境变量名称作为其机密。
(错误的方式)
我看到 DBA 使用的一种旧方法是将 SYBASE 设置为 "/opt/././././././././././././././././././././././././././././././././././sybase/bin"。所以他们的命令行太长了 ps 截断了它。但在 linux 中,我认为您可能能够从 /proc 中嗅出完整的命令行。
【讨论】:
ps 会显示信息的扩展版本。
ps 截断了它"------ 使用ps ww 它可以显示完整的命令行跨度>
向ps 隐藏您的秘密论点的唯一方法是不提供秘密作为论点。这样做的一种方法是将秘密放在一个文件中,并重定向文件描述符 3 以读取该文件,然后删除该文件:
echo secret > x.$$
command 3<x.$$
rm -f x.$$
尚不完全清楚这是一种保存秘密的安全方法; echo 命令是一个内置的 shell,所以它不应该出现在 'ps' 输出中(并且任何外观都会稍纵即逝)。很久以前,echo 不是内置的——事实上,在 MacOS X 上,仍然有一个 /bin/echo,尽管它是所有 shell 的内置。
当然,这假设您拥有command 的源并且可以修改它以从预先打开的文件描述符而不是从命令行参数中读取秘密。如果你不能修改命令,你就完全卡住了——“ps”列表会显示信息。
如果您是命令所有者,您可以使用另一个技巧:您可以捕获参数(秘密),为自己将其写入管道或文件(立即取消链接),然后在没有秘密论据;第二次调用知道,由于没有秘密,它应该查看第一次调用隐藏秘密的地方。第二次调用(减去秘密)是在处理隐藏秘密所需的微小间隔之后出现在“ps”输出中的内容。不如从一开始就设置秘密通道。但这些都表明你必须走的路。
从程序内部删除参数 - 例如用零覆盖 - 不会隐藏“ps”中的参数。
【讨论】:
umask 077 以确保只有用户可以读取文件。
echo foo > bar; exec 3<bar; read line <&3; echo $line。输出:foo。因为type read 显示read is a shell builtin ps 应该看不到它。
我在另一个帖子上看到了。这是Linux下最简单的方法。
这会修改所有其他程序看到的命令行的内存部分。
strncpy(argv[1], "randomtrash", strlen(argv[1]));
您也可以更改进程的名称,但只能从命令行读取。像top 这样的程序会显示真实的进程名:
strncpy(argv[0], "New process name", strlen(argv[0]));
不要忘记复制最大 strlen(argv[0]) 字节,因为可能没有更多空间分配。
我认为参数只能在我们修改的内存部分中找到,所以我认为这就像一个魅力。如果有人对此有所了解,请发表评论。
VasyaNovikov 注意:在程序调用后但在开始执行您描述的更改之前,仍然可以截取密码。
【讨论】:
expect 库是为此类事情部分创建的,因此您仍然可以向进程提供密码/其他敏感信息,而无需将其作为参数传递。假设当没有给出“秘密”时,程序当然会要求它。
【讨论】:
【讨论】:
您可以使用LD_PRELOAD 让一个库在该二进制文件本身的进程中操作该二进制文件的命令行参数,而ps 不会接收它。有关详细信息,请参阅服务器故障上的 this answer of mine。
【讨论】:
如果脚本打算手动运行,最好的方法是从 STDIN 读取它
#!/bin/bash
read -s -p "Enter your secret: " secret
command "$secret"
【讨论】:
read -s,它不会回显输入字符,因此您只需将 stty 与没有它的 shell 一起使用(zsh 也有它)。
ps 输出中 - 但问题是如何避免这种暴露。
也许你可以这样做:
#include <boost/algorithm/string/predicate.hpp>
void hide(int argc, char** argv, std::string const & arg){
for(char** current = argv; current != argv+ argc ;++current){
if(boost::algorithm::starts_with(*current, "--"+arg)){
bzero(*current, strlen(*current));
}
}
}
int main(int argc, char** argv){
hide(argc, argv, "password");
}
【讨论】:
这是一种对 ps 隐藏环境变量中的秘密的方法:
#!/bin/bash
read -s -p "Enter your secret: " secret
umask 077 # nobody but the user can read the file x.$$
echo "export ES_PASSWORD=$secret" > x.$$
. x.$$ && your_awesome_command
rm -f x.$$ # Use shred, wipe or srm to securely delete the file
在 ps 输出中,您将看到如下内容:
$ps -ef | grep your_awesome_command
root 23134 1 0 20:55 pts/1 00:00:00 . x.$$ && your_awesome_command
Elastalert 和 Logstash 是可以通过环境变量访问密码的服务示例。
【讨论】:
ES_PASSWORD=$secret your_awesome_command ?如果您不希望将秘密写入文件,这似乎是一个非常奇怪的想法。电脑死机了怎么办?清理挂钩不会运行。为什么要增加复杂性?
我总是将敏感数据存储在我不放入 git 的文件中,并使用如下秘密:
$(cat path/to/secret)
【讨论】:
$/gpg -qd path/to/secret)!