Removendo senhas dos logs do terminal no CentOS 7

1

Às vezes, um usuário dá um erro de digitação quando está tentando fornecer uma senha depois de digitar um comando confidencial, como su - . O usuário, então, assumirá que está recebendo outra solicitação de senha e digitará a senha raiz no prompt de comando, deixando-a nos logs. Eu sinto que tais referências de senha nos logs são um risco de segurança, particularmente a senha de root.

Quais ferramentas e sintaxe específicas podem ser usadas para remover essas senhas dos logs?

    
por CodeMed 06.03.2015 / 20:13

1 resposta

1

Não creio que haja muitas opções para fazer isso que também não resultem em mais credenciais para o usuário inquisitivo.

Por exemplo, o bash tem a opção de excluir automaticamente os 'comandos' (ou mais especificamente, 'entradas') do registro no arquivo de histórico por meio da variável HISTIGNORE , que é uma lista separada por dois pontos. combinações de texto (com globbing) para ignorar. Por exemplo, você pode adicionar myP4* à variável HISTIGNORE para que seja excluído myP455w0Rd de ser gravado, no entanto isso exporia a primeira parte da senha a qualquer um que se importasse, que poderia adivinhar qual era essa exclusão .

Como alternativa, você poderia ter uma tarefa cron executada em um intervalo razoavelmente freqüente que inspecione e remova tais entradas do arquivo .bash_history (ou equivalente para o seu shell), mas que poderia potencialmente expor a correspondência (e assim satisfaria essa correspondência) para qualquer um que se importasse em parecer (embora um pouco mais seguro se for um cronjob para root).

A melhor resposta nesta situação é ensinar seus usuários a serem mais cuidadosos ao digitar qualquer coisa no console; especialmente se forem usuários confiáveis no acesso root à máquina! Pense no ditado (um tanto modificado): "olhe duas vezes, execute uma vez" - se eles estão fazendo qualquer coisa que envolva acesso ao sistema, a segurança já deve estar em suas mentes!

    
por 07.03.2015 / 01:17