Recientemente estuve leyendo sobre Ansible y la forma en que administra las contraseñas de sudo. Más específicamente:
Cuando se utiliza Become_user para un usuario que no sea root, los argumentos del módulo se escriben brevemente en un archivo temporal aleatorio en / tmp. Estos se eliminan inmediatamente después de ejecutar el comando. Esto solo ocurre cuando se cambian los privilegios de un usuario como "bob" a "timmy", no cuando se va de "bob" a "root", o al iniciar sesión directamente como "bob" o "root". Si le preocupa que estos datos se puedan leer brevemente (no se pueden escribir), evite transferir las contraseñas no cifradas con el conjunto de usuario. En otros casos, / tmp no se usa y esto no entra en juego. Ansible también se encarga de no registrar los parámetros de contraseña.
¿No es esto un riesgo de seguridad? ¿Podría un usuario no privilegiado escribir una secuencia de comandos de vigilancia que rastree el contenido de los archivos recién creados en el directorio / tmp?