SSH làm cho tất cả các mật khẩu đã nhập hiển thị khi lệnh được cung cấp làm đối số cho lệnh SSH

Nếu tôi chạy cái này:

ssh user@server 'mysql -u user -p'

Khi nó hỏi tôi mật khẩu MySQL và tôi bắt đầu nhập, mật khẩu sẽ hiển thị trên màn hình. Làm thế nào tôi có thể ngăn chặn điều này? Nếu tôi đăng nhập thông qua sshvà sau đó thực thi lệnh MySQL, mọi thứ đều hoạt động tốt.

Nếu bạn cung cấp một lệnh từ xa để chạy, SSH sẽ không cấp phát một tty, vì vậy lệnh từ xa không thể tắt tiếng vang. Bạn có thể buộc SSH cung cấp tty bằng -ttùy chọn:

ssh -t user@server 'mysql -u user -p'

Tùy chọn tương đương (cho -ohoặc cho tập tin cấu hình) là RequestTTY. Tôi thận trọng không sử dụng nó trong cấu hình vì nó có thể có tác dụng không mong muốn đối với các lệnh không tương tác .

Lưu trữ mật khẩu trong một tệp tùy chọn được bảo vệ

Nếu bạn có thể tin tưởng ^[*] bảo mật của máy tính từ xa, bạn có thể lưu mật khẩu vào tệp tùy chọn được bảo vệ đúng cách, như được đề xuất trong chương Hướng dẫn người dùng cuối về bảo mật mật khẩu của hướng dẫn, mà không cần phải liên lạc qua sshhoặc nhập từng loại thời gian.

Cụ thể, bạn có thể thêm một dòng trong phần [client] của tệp .my.cnftrong thư mục chính của bạn:

[client]
password=your_pass

Tất nhiên, bạn phải giữ cho tệp đó không thể truy cập được cho bất kỳ ai trừ chính bạn, bằng cách đặt chế độ truy cập tệp thành 400 hoặc 600 với, ví dụ:

chmod 600 ~/.my.cnf

Sau đó, bạn có thể sử dụng một cái gì đó như

ssh user@server 'mysql -u user110971 --defaults-file=/home/user110971/mysql-opts'

nơi user110971là tên người dùng của tài khoản của bạn.

Buộc ssh phân bổ giả tty ( ssh -t)

Vấn đề này xảy ra mỗi khi bạn gửi lệnh thông qua sshvà bạn cần chèn đầu vào vì theo mặc định, sshsẽ không cấp phát giả.

Bạn có thể buộc phân bổ tty với tùy chọn -t, (thậm chí nhiều hơn một nếu cần):

-t

Buộc phân bổ giả. Điều này có thể được sử dụng để thực thi các chương trình dựa trên màn hình tùy ý trên một máy từ xa, có thể rất hữu ích, ví dụ như khi triển khai các dịch vụ menu. Nhiều -ttùy chọn buộc phân bổ tty, ngay cả khi ssh không có tty cục bộ.

Như bạn có thể đọc trong bài này Debian (Jul_11_2008) về sudo, nó là một vấn đề cũ mà tình yêu để tái diễn:

ssh user@server "sudo ls"  
password: password  

Và mật khẩu được hiển thị cho bạn

Giải pháp là buộc ssh phân bổ giả, với cờ -t:

ssh -t user@server sudo ls

Ghi chú:

^[*] Nếu bạn có thể dựa vào việc để lại mật khẩu trong một tệp mà bạn chỉ có thể truy cập và root trênmáy khách đang làm việc .
Nếu có thể khởi động lại máy tính từ xa thay đổi HĐH hoặc xóa ổ cứng, máy tính không thể được coi là hoàn toàn an toàn ... nhưng trong trường hợp đó, cơ sở dữ liệu sẽ không được bảo mật.

Tùy chọn gắn kết "hidepid" cho Proc fs cũng có giá trị. Nó làm cho dòng lệnh của bạn vô hình trong danh sách quy trình cho người dùng khác. ví dụ fstab:

proc /proc proc hidepid=1 0 0