Esto está vagamente relacionado con una de mis respuestas recientes. He enumerado 4 métodos para agregar un nuevo usuario a través de la combinación mkpasswd
y useradd
en Ubuntu 16.04.
-
Sustitución de comandos:
sudo -p ">" useradd -m -s /bin/bash -p $(mkpasswd --hash=SHA-512 "123" ) newusr
-
Cita única:
sudo -p ">" useradd -m -s /bin/sh -p 'GVhvDY$vhw89D2X0bd2REQWE' newusr2
-
Pasando a través de la tubería a
xargs
:mkpasswd -m sha-512 'password1' | sudo -p '>' xargs -I % useradd -p % newuser1
-
Agregando barras diagonales inversas a cada
$
useradd -m -s /bin/bash -p \\AfGzrQ9u\$r6Q7Vt6h8f2rr4TuW4ZA22m6/eoQh9ciwUuMDtVBX31tR3Tb0o9EB1eBdZ2L9mvT.pX3dIEfxipMoQ0LtTR3V1 newuser
En el caso de los métodos 4 y 2, está claro que la contraseña con hash aparece en la lista de procesos; Esto no es del todo seguro. Sin embargo, tengo curiosidad por los métodos 3 y 1. ¿La sustitución de comandos y las tuberías impiden que un usuario malintencionado obtenga de alguna manera la contraseña con hash? ¿Puede el usuario malintencionado leer de alguna manera stdout
o stdin
de cualquiera de los comandos?