Bagaimana cara mengirimkan kata sandi ke proses anak?

Melewati kata sandi pada baris perintah (ke proses anak dimulai dari program saya) diketahui tidak aman (karena dapat dilihat bahkan oleh pengguna lain dengan perintah ps). Apakah boleh untuk meneruskannya sebagai variabel lingkungan?

Apa lagi yang bisa saya gunakan untuk melewatinya? (Kecuali variabel lingkungan) solusi termudah tampaknya menggunakan pipa, tetapi solusi termudah ini tidak mudah.

Saya memprogram di Perl.

Argumen proses terlihat oleh semua pengguna, tetapi lingkungan hanya dapat dilihat oleh pengguna yang sama ( setidaknya di Linux , dan saya pikir pada setiap varian unix modern). Jadi mengirimkan kata sandi melalui variabel lingkungan adalah aman. Jika seseorang dapat membaca variabel lingkungan Anda, mereka dapat menjalankan proses seperti Anda, jadi itu sudah berakhir.

Konten lingkungan berisiko berisiko bocor secara tidak langsung, misalnya jika Anda menjalankan psuntuk menyelidiki sesuatu dan secara tidak sengaja menyalin-menempelkan hasilnya termasuk variabel lingkungan rahasia di tempat umum. Risiko lain adalah bahwa Anda meneruskan variabel lingkungan ke program yang tidak memerlukannya (termasuk anak-anak dari proses yang membutuhkan kata sandi) dan program itu memaparkan variabel lingkungannya karena tidak mengharapkannya dirahasiakan. Seberapa buruk risiko kebocoran sekunder ini tergantung pada apa proses dengan kata sandi itu (berapa lama itu berjalan? Apakah itu menjalankan subproses?).

Lebih mudah untuk memastikan bahwa kata sandi tidak akan bocor secara tidak sengaja dengan melewatkannya melalui saluran yang tidak dirancang untuk dikuping, seperti pipa. Ini cukup mudah dilakukan di sisi pengirim. Misalnya, jika Anda memiliki kata sandi dalam variabel shell, Anda bisa melakukannya

echo "$password" | theprogram

jika theprogrammengharapkan kata sandi pada input standarnya. Perhatikan bahwa ini aman karena echomerupakan builtin; itu tidak akan aman dengan perintah eksternal karena argumen akan diekspos dalam psoutput. Cara lain untuk mencapai efek yang sama adalah dengan dokumen di sini:

theprogram <<EOF
$password
EOF

Beberapa program yang memerlukan kata sandi dapat diperintahkan untuk membacanya dari deskriptor file tertentu. Anda dapat menggunakan deskriptor file selain dari input standar jika Anda membutuhkan input standar untuk hal lain. Misalnya dengan gpg:

get-encrypted-data | gpg --passphrase-fd 3 --decrypt … 3<<EOP >decrypted-data
$password
EOP

Jika program tidak bisa disuruh membaca dari deskriptor file tetapi bisa disuruh baca dari file, Anda bisa menyuruhnya membaca dari deskriptor file dengan menggunakan nama file seperti `/ dev / fd / 3.

theprogram --password-from-file=/dev/fd/3 3<<EOF
$password
EOF

Di ksh, bash atau zsh, Anda bisa melakukan ini dengan lebih ringkas melalui proses substitusi.

theprogram --password-from-file=<(echo "$password")

Alih-alih menyampaikan kata sandi secara langsung melalui argumen atau variabel lingkungan

#!/bin/bash
#filename: passwd_receiver
echo "The password is: $1"

gunakan argumen atau variabel lingkungan yang sama untuk meneruskan nama file :

#!/bin/bash
#filename: passwd_receiver
echo "The password is: $(< "$1")"

Kemudian Anda dapat melewati baik izin yang dilindungi file biasa (meskipun itu tidak akan melindungi Anda dari proses lain yang berjalan di bawah pengguna yang sama), atau /dev/stdindan pipa di (yang AFAIK akan melindungi Anda dari proses lain yang berjalan di bawah pengguna yang sama):

 echo PASSWORD | ./passwd_receiver /dev/stdin 

Jika Anda menggunakan di /dev/stdinsini, sangat penting bahwa itu adalah pipa . Jika terminal, itu akan dapat dibaca oleh proses lain yang berjalan di bawah pengguna yang sama.

Jika Anda sudah perlu menggunakan Anda /dev/stdinuntuk sesuatu yang lain, Anda bisa menggunakan subtitusi proses jika Anda menggunakan shell yang mendukungnya, yang pada dasarnya setara dengan menggunakan pipa:

./passwd_receiver <(echo PASSWORD)

Named pipes (FIFOs) mungkin terlihat sama, tetapi dapat disadap.

Solusi-solusi ini juga tidak sepenuhnya aman , tetapi mereka mungkin cukup dekat asalkan Anda tidak berada pada sistem dengan keterbatasan memori yang banyak bertukar.

Idealnya, Anda akan membaca file-file ini (pipa juga file) ke dalam memori yang ditandai dengan mlock (2) sebagai nonswappable, yang biasanya dilakukan oleh program penanganan kata sandi seperti gnupg.

Catatan:

1. Melewati angka-angka yang diajukan secara teoritis sama baiknya dengan mengarsipkan nama file, tetapi nama file lebih praktis, karena <()memberi Anda nama file, bukan angka yang diajukan (dan coprocmemberi Anda penanda file yang ditandai FD_CLOEXEC , yang membuat file-file tersebut tidak dapat digunakan dalam konteks ini).

2. Jika Anda menggunakan sistem Linux di mana
   /proc/sys/kernel/yama/ptrace_scopediatur ke 0, maka AFAIK, tidak ada cara antipeluru untuk melindungi diri dari proses lain yang berjalan di bawah pengguna yang sama (mereka dapat menggunakan ptrace untuk melampirkan ke proses Anda dan membaca memori Anda)

3. Jika Anda hanya perlu menjauhkan kata sandi dari proses yang berjalan di bawah pengguna yang berbeda (bukan root), maka argumen, variabel lingkungan, pipa dan file yang dilindungi izin semua akan dilakukan.

Tidak, variabel lingkungan juga mudah dibaca, dan bocor ke proses anak. melewatinya menggunakan pipa.

Jika tidak ada yang cocok, pertimbangkan layanan Retensi Kunci Linux (keyrings kernel).

Mulai di: security / keys.txt . Salah satu keyrings default dapat dikloning antara proses induk dan anak.

Ini bukan solusi paling sederhana, tetapi ada di sana dan tampaknya dipelihara & digunakan (itu juga terlibat dalam bug Android tahun lalu.)

Saya tidak tahu tentang status "politik" nya, tetapi saya memiliki kebutuhan yang sama, & mulai bekerja pada ikatan tipu muslihat. Belum menemukan dukungan Perl yang sudah ada.