如何防止在使用sudo时在journalctl中记录敏感的CLI参数?

Modified on: Sat, 30 Jun 2018 08:51:00 +0800

在Ubuntu 16.04中,journal记录每个sudo命令,其中一些包含敏感参数(例如,明文密码),我不想留在日志中。我对如何防止这种情况有所了解,但我想知道是否有任何正式的方法,理想情况下应该简单而通用。

例如,如下所示的命令。

$ sudo set_account.sh --password SbdLb9W --pin-number 1234 --other-options

日志日志可能会像这样呈现。

sudo set_account.sh --password ... --pin-number ... --other-options

感谢。

感谢大家提供非常有用的答案和评论。我想我会继续使用环境变量和包装脚本的方法。

作者:,user180574

最佳答案

不要将密码放在命令选项中。

正确的方法是使用环境变量,例如

$ MY_PASSWORD=s3cr3t ./mycommand

但是,mycommand需要知道在环境中查找密码

密码将显示在您的shell历史记录中,但对其他用户不可见:https://security.stackexchange.com/questions/138071/are-environment-variables-entered-directly-before-a-command-visible-to-other-

如果您不想在shell历史记录中使用它,请将上述命令放在脚本中并运行该脚本

如果mycommand调用其他进程,请注意不要将MY_PASSWORD传递给子进程


相关问答

添加新评论