Unix的TTY机制的明文输入密码的安全问题

最新推荐文章于 2025-11-27 10:16:34 发布
原创 最新推荐文章于 2025-11-27 10:16:34 发布 · 置顶 · 2.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#unix #终端 #ssh #bash #callback #网络

本文探讨了在Unix系统中,通过SSH连接执行命令时,如何因TTY机制导致密码明文显示的问题。当使用getpass函数在没有TTY的环境中获取密码时,密码可能会在网络中明文传输。分析了问题的原因,即stdin被重定向至网络套接字,使得getpass无法屏蔽回显。建议避免依赖getpass获取密码,而是采用自定义方法或回调程序确保密码安全性。
问题的提出
网上一位网友提出了如下的问题:
代码:
ssh root@a.b.c.cn mysqldump abcd emp > emptoeee -u root -p
root@a.b.c.cn password:
Enter password:

第一个系统密码是看不见的,而第二个mysql的密码竟明文显示了...
第一个密码显然是ssh密码验证所需要的密码,第二个密码应该是远程mysqldump所需要的密码,但是为什么第二个密码就显示明文的了呢?
问题的分析
在Unix编程中,获取密码一般使用getpass(3)函数。他的定义是这样的:
代码:
#include <unistd.h>

char *getpass( const char * prompt );
其中prompt就是输入密码前面的提示语如“PassWord:”之类类的短语,在getpass的手册册页中说:
代码:
For glibc2, if /dev/tty cannot be opened,  the  prompt  is  written  to
stderr  and  the password is read from stdin.  There is no limit on the
length of the password.  Line editing is not disabled.
也就是说,通常情况下getpass的都是使用stdin来获取密码的,而且《Advanced Unix Programming》一书中我们知道,一般stdin,stdout和stderr是有TTY信息的。在这种情况下,glibc的getpass使用 如下的方法:
代码:
if (__tcgetattr (fileno (in), &t) == 0)
    {
       /* Save the old one. */
       s = t;
       /* Tricky, tricky. */
       t.c_lflag &= ~(ECHO|ISIG);
       tty_changed = (tcsetattr (fileno (in), TCSAFLUSH|TCSASOFT, &t) == 0);
     }

在stdin具有终端属性的时候,这段代码会成功的屏蔽掉终端的回显功能。我们的输入就不会被显示出来。
但是,当我们使用netcat等工具,使用管道从网络另一端转发输入输出信息时,远端程序一般会将程序的stdin和stdout,stderr重定向到网络。此时,stdin和stdout等的文件描述符已经被替换:
代码:
/* duplicate the socket for the child program */
dup2(ncsock->fd, STDIN_FILENO);
close(ncsock->fd);
dup2(STDIN_FILENO, STDOUT_FILENO);
dup2(STDIN_FILENO, STDERR_FILENO);
上面是netcat的代码,此时的stdin等的描述符已经是一个套接字。getpass的终端操作无法进行,输入的密码会直接的显示在远程的终端上。对于一次性执行的远程ssh命令,同样仅仅是stdin等被赋值为网络套接字。而且,从ssh的输出来看:
代码:
[gnap@osiris ~]$ ssh ftp bash -i
[gnap@ftp ~]$ su
standard in must be a tty
[gnap@ftp ~]$ exit
exit
[gnap@osiris ~]$
远程的bash没有提示"no job control",估计stderr没有被重定向。所以,建议不要使用这种方式执行需要操作终端的程序。
解决方法:
出于安全的考虑,建议尽量避免使用glibc的getpass来获取密码。建议自己实现密码的获取,并且在无法获取tty是提示并退出程序(su)或者编 写callback程序向X索取输入密码(ssh)。另外,作为安全的建议,任何调用getpass的程序都建议放到拥有终端的环境中去执行,以避免密码 明文显示的安全隐患。
Linux——系统安全及应用
druizhen_的博客
06-05 2294
只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在命令行输入明文密码,则无意之中服务器的安全壁垒又多了一个缺口。John the Ripper 是一款开源的密码破解工具,能够在已知密文的情况下快速分析出明文密码字串,支持 DES、MD5 等多种加密算法,而且允许使用密码字典(包含各种密码组合的列表文件)来进行暴力破解。因此,“什么样的密码才足够强壮”取决于用户的承受能力,有人认为超过 72小时仍无法破解的密码才算安全,也可能有人认为至少暴力分析一个月仍无法破解的密码才足够安全
登录注册明文安全
慕白Lee的博客
07-06 509
前台js处理形同虚设. 解决方案稍后几天给出
tty界面输入账号和密码,进入不了命令界面
qq_49973861的博客
02-05 755
我用小键盘输入密码,结果小键盘上的数字锁没开,对自己无语,还输入了好多次。在tty界面输入账号和密码进入不了界面,这种情况下一般是密码没有输入对。也不知道是没睡醒导致的,还是真呆了导致的。
虚拟机中的ubuntu终端窗口输不进去密码
qq_64724279的博客
03-26 3517
不要用小键盘输入数字
linux tty无法输入密码,Linux系统tty无法正常显示汉字的两种解决方案
weixin_39965490的博客
04-30 999
以下是tty无法正常显示汉字的两种解决方案,同样的方法可用在多种不同的Linux系统中,比如Deepin等。1、解决方案一安装以下几个包:sudo apt install fbterm ttf-unifont说明:fbterm为帧缓存终端,可以理解为是zhcon的升级版。ttf-unifont为Unifont点阵字体,支持中文。2、解决方案二用快捷键Ctrl+Alt+F1(注:F1-F6,一共可以...
Linux设备模型之tty驱动架构分析
wxie的Linux人生
11-28 8538
Linux设备模型之tty驱动架构分析  一:前言 Tty这个名称源于电传打字节的简称。在linux表示各种终端终端通常都跟硬件相对应。比如对应于输入设备键盘鼠标。输出设备显示器的控制终端和串口终端.也有对应于不存在设备的pty驱动。在如此众多的终端模型之中,linux是怎么将它们统一建模的呢?这就是我们今天要讨论的问题. 二:tty驱动概貌 Tty
37、用户密码管理与PAM认证机制详解
vim8coder的博客
05-25 63
本文详细介绍了用户密码管理与PAM(Pluggable Authentication Modules)认证机制。内容涵盖密码规则文件的定制、密码破解工具的使用及清理、字典文件的作用以及PAM的组成和配置方法。通过具体示例解析了PAM在Linux系统中的应用,包括`su`和`rlogin`服务的认证流程,并介绍了部分关键模块的功能。最后总结了密码管理与PAM认证机制在系统安全中的重要性,为实际应用提供了配置建议。
31、深入了解Samba密码加密明文与密文的较量
最新发布
u9v0w的博客
11-27 4
本文深入探讨了Samba密码加密机制,详细分析了明文密码加密密码的区别、优缺点及适用场景。介绍了不同版本Windows的默认密码策略,以及Samba中关键的加密参数配置和密码管理工具如smbpasswd的使用方法。通过设置流程图和对比表格,帮助读者理解如何安全高效地迁移和管理Samba密码系统。文章还提供了针对小型网络、企业域环境等不同场景下的密码策略建议,并总结了密码管理的最佳实践,助力提升网络安全性与运维效率。
系统监控、审计与密码安全保障
# 系统监控、审计与密码安全保障 ## 1. 系统日志监控工具对比 在系统安全防御中,日志监控是至关重要的一环。swatch 和 logcheck 是两款常用的日志监控工具,它们各有特点。 ### 1.1 swatch 和 logcheck 的特点 - ...
系统安全密码管理与权限控制全攻略
创建安全密码 在信息论中,熵是与随机变量相关的不确定性水平,以比特为单位表示。密码的熵值越高,其安全性就越高。根据NIST SP 800 - 63 - 1标准,不在包含50000个常用密码的字典中的密码,其熵值应至少为10比特...
【亲测免费】 探索ttyd:一款强大的在线终端共享工具
gitblog_00064的博客
03-20 1719
**项目简介** 是一个轻量级且易于部署的开源项目,它允许用户通过Web浏览器实时分享和远程控制命令行界面(CLI)。借助这个工具,你可以轻松地在任何地方进行协作、演示或远程支持,无需复杂的设置或第三方应用。 ## 技术分析 ttyd基于Node.js构建,利用WebSocket协议实现实时双向通信。其核心特点包括: 1. **简洁的架构** - 基于`libwebsockets`库,...
执行脚本出现 standard in must be a tty
MyySophia的博客
05-12 5303
出现该提示是因为你执行的脚本的时候并不是在没有对应用户的环境变量,应该在脚本中加入su - username,来加载环境变量。可通过 echo $PATH 来查看会否切换成功。
解决zabbix的zabbix_get获取客户端数据爆“standard in must be a tty
weixin_33716557的博客
10-13 659
(1)如题所示,我的zabbix客户端上有这样一个脚本:[root@mpdb01scripts]#vim/usr/local/zabbix/scripts/paycompletion12.sh其内容如下:#!/bin/bash echo"/home/oracle/scripts/paymentcompletion.sh"|su-oracle上面的脚本意思很简...
Linux Shell自动交互
木马屠城
03-15 6224
为了方面,我写了个脚本自动ssh登录远端机器,如下,这个脚本需要安装expect包 ================================ #!/usr/bin/expectset timeout 30spawn ssh -l root 192.168.1.117expect "password:"send "nopassw
oracle数据库备份报错,Oracle数据库rman自动备份的常见报错
weixin_29176179的博客
04-12 1093
问题描述:Oracle自动备份脚本的实现。错误提示1:Message file RMAN.msb not foundVerify that Oracle_HOME is set properly。。。。。。错误原因:自动执行的不能够识别相应的命令,需要在自动备份脚本中显式的声明Oracle的环境变量。错误提示2:standard in must be a tty。。。。。。错误原因:不能在cron...
php standard in must be a tty,Detect if stdin is a tty device (terminal) or pipe in PHP?
weixin_42299679的博客
04-01 469
问题I wrote a php script. I want it show help message when called with standard input connected to a tty device (terminal) before reading and executing interactively, but dont show when called with a fi...
一个简单的通过浏览器共享命令行的工具ttyd
kongxx的专栏
01-28 3091
今天调研的时候看到了ttyd工具,一个可以简单的通过浏览器共享命令行工具,只需要在命令行运行一个命令,就可以通过浏览器来直接访问终端了。下面就看看怎么使用吧。 下载安装 # 在Linux上直接下载的二进制文件,下载后改名为ttyd $ wget -c -O ttyd https://github.com/tsl0922/ttyd/releases/download/1.4.2/ttyd_linux...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值