ユーザーのパスワードがプレーンテキストとしてbash履歴に保存されるのを防ぐ

次の理由により、できません。また、試してはいけません。

1. 不完全な技術的能力（セマンティクス）
2. 不完全な技術的能力（集中ロギング）
3. 代替ベクトル（プロセステーブル）
4. ベストプラクティス（正確性を教える）

不完全な技術的能力（セマンティクス）

あなたが実際に履歴ファイルを持ちたいとしましょう-それは理由のために存在します。入力したコマンドを覚えたり、参照によってコマンドを繰り返したりするのに役立ちます。この場合、誤って入力したパスワードを削除します。どうやってやるの？

Bash履歴ファイル内でスキャンするパスワードの平文リストを作成できますが、システムには平文パスワードのリストがあります。

「Sudo」や「su」などのコマンドを探して、それらの後にあるものを削除しようとすることもできますが、発生するのは、誰かが誤って「sudp」と入力し、プロンプトにパスワードを入力することです。パスワードの露出につながったタイプミスのため、フィルターはそれを認識しません。

要するに、コンピュータは不適切なパスワードエントリを除外するほどスマートではありません。それは意味の意味の問題です。

不完全な技術的能力（集中ロギング）

Bash 4.1では、全員の履歴ログを syslog にコピーする機能が導入されました。これは、人々が年の間、bash（および他のシェル）にハッキング、パッチ、およびスクリプトを作成していた機能の正当なバージョンでした。他の誰かがあなたのマシンを管理している場合-たとえば、職場のITグループ-は、知らないうちにコマンドラインが静かにログに記録されているかどうかを制御できない場合があります。

それはただのバッシュではありません。 Linuxのauditdデーモンは、コマンドと引数をログに記録するように構成できます。

# grep oops /var/log/audit/auditd.log
type=EXECVE msg=audit(1443795447.953:2387443): argc=6 a0="Sudo" a1="oops" a2="i" a3="typed" a4="my" a5="password"
#

これはシステムレベルの設定であり、カーネルを介して動作し、使用するシェルとはまったく関係なく、自分で選択した履歴設定とは無関係です。

代替ベクトル（プロセステーブル）

コマンドラインで入力したものはすべてプロセステーブルに表示される可能性があります。そのため、パスワードを使用するツールでは、インタラクティブに入力する必要があります。失敗した場合（上記のSudoの例のように）、それらを引数として入力すると、プロセスリストから誰かが取得できるようになり、コマンドラインから取得するハーベスターをスクリプトで作成するのはそれほど難しくありません。プロセステーブル。

ベストプラクティス（正確性を教える）

これらの各反対意見には警告があります...「履歴ファイルを使い続けたくない場合」、「システム管理者が手を貸していない場合」、「誰もプロセステーブルを注意深く監視していない場合」...私の「ベストプラクティス」の定義は、「自分がやりたいように進んでいる他のものに頼ることができないために行うこと」です。したがって、ベストプラクティスは、本来はパスワードを間違って入力してはいけないと想定し、それをすぐに変更して、自分の人生に移ることです。

実装できる「ソリューション」は部分的であり、ユーザーの検出範囲外では障害が発生しやすくなります。自分より安全だという誤った印象を人々に与えたくないのです。

私はそれを行うために人々を訓練することは難しいことを理解しています。一体何をするように人々を訓練することは難しいです、そして、セキュリティはダブルプラスハードです。しかし、それは正しい答えです。