사용자가 민감한 명령(예:)을 입력한 후 비밀번호를 입력하려고 하면 맞춤법 오류가 발생하는 경우가 있습니다 su -
. 그런 다음 사용자는 다른 암호 요청을 받았다고 가정하고 명령 프롬프트에 루트 암호를 입력하여 로그에 남깁니다. 나는 로그에서 이러한 비밀번호 참조, 특히 루트 비밀번호를 보안 위험으로 간주합니다.
로그에서 이러한 비밀번호를 제거하려면 어떤 특정 도구와 구문을 사용할 수 있습니까?
답변1
호기심 많은 사용자에게 자격 증명을 더 이상 노출하지 않고도 이를 수행할 수 있는 옵션이 많이 있다고 생각합니다.
예를 들어, bash에는 무시할 텍스트 일치 항목(와일드카드 포함)을 콜론으로 구분한 목록인 변수를 통해 내역 파일에 기록된 "명령"(또는 더 구체적으로 "항목")을 자동으로 제외하는 옵션이 있습니다 HISTIGNORE
. 예를 들어, myP4*
HISTIGNORE 변수에 추가하여 레코드에서 제외 할 수 있지만 myP455w0Rd
이렇게 하면 비밀번호의 첫 번째 부분을 보고자 하는 사람에게 노출되어 제외 대상이 무엇인지 추측할 수 있습니다.
또는 파일(또는 쉘의 동등한 항목)에서 이러한 항목을 확인하고 .bash_history
제거하는 상당히 빈번한 간격으로 실행되는 크론 작업을 가질 수 있지만 다시 일치 항목(및 일치하는 항목)을 버릴 수 있습니다. (루트 cronjob이라면 더 안전하겠지만)
이 경우 가장 좋은 대답은 사용자에게 콘솔에 무엇이든 입력할 때 특히 시스템에 대한 루트 액세스 권한이 있는 신뢰할 수 있는 사용자인 경우 더욱 주의하도록 가르치는 것입니다. (약간 수정된) 격언을 생각해 보십시오: "두 번 보고, 한 번 수행하십시오" - 시스템 액세스와 관련된 작업을 수행하는 경우 이미 보안을 염두에 두어야 합니다!