скрыть аргументы запуска программы из списка процессов?

0

0

есть некоторая программа, которая запускается с параметрами --user --pass,
других способов передачи аргументов нету, висит она достаточно долго и в ps aux , например, все эти --pass= светит

можно ли както (без переписывания самой программы) скрыть все аргументы в ps aux от любопытных глаз ?
(просто вероятно появится необходимость запускать ее на shared хостинге)

Ссылка

←	Восстановление данных с внешнего ReiserFS

squid в Домене вопросы

→

Нет.

~~gaa~~ ★★
(04.03.09 01:18:01 MSK)

Ответ на: комментарий от gaa 04.03.09 01:18:01 MSK

совсем-совсем решето?

Sylvia ★★★★★
(04.03.09 01:21:02 MSK) автор топика

Ответ на: комментарий от Sylvia 04.03.09 01:21:02 MSK

ну и ладно, пришлось искать исходники этой неумной прогрыммы и дописать 2 строчки

if (!CV.pass)
if (getenv("DN3_PASSWD")) CV.pass = strdup(getenv("DN3_PASSWD"));

<------>if(!CV.pass) {
<------>fprintf(stderr, "client_error: you must specify a password\n");
<------>err ++;
<------>}

Sylvia ★★★★★
(04.03.09 01:36:39 MSK) автор топика

Ответ на: комментарий от Sylvia 04.03.09 01:36:39 MSK

> ну и ладно, пришлось искать исходники этой неумной прогрыммы и дописать 2 строчки
> if (!CV.pass) if (getenv("DN3_PASSWD")) CV.pass = strdup(getenv("DN3_PASSWD"));

А теперь сделай cat /proc/$pid/environ и ужаснись ;)

~~gaa~~ ★★
(04.03.09 01:45:28 MSK)

Ответ на: комментарий от gaa 04.03.09 01:45:28 MSK

я в курсе, но вот на нём mode 0400 ,
так что не небезопаснее чем хранить пароль в том же шелл-скрипте с которого все вызывается

и все же хочется универсального решения, сдается мне что это не последний случай..

Sylvia ★★★★★
(04.03.09 01:49:42 MSK) автор топика

Ответ на: комментарий от Sylvia 04.03.09 01:49:42 MSK

> я в курсе, но вот на нём mode 0400

Уже лучше. Только вот подозреваю, что на хостинге у всех будет один и тот же пользователь www-data.

> и все же хочется универсального решения, сдается мне что это не последний случай..

Его нет, иначе бы во все подряд программы не засовывали возможность принимать пароль из файлового дескриптора.

~~gaa~~ ★★
(04.03.09 02:09:00 MSK)

Ответ на: комментарий от gaa 04.03.09 02:09:00 MSK

плохой хостинг если не разделяет права и всем доступна дыра file system traversal через веб сервер )

не мой случай, скрипт для crontab с правами пользователя, root конечно может посмотреть, но... заморачиваться с тотальным шифрованием всего и вся в данном варианте излишне, не настолько там ценный аккаунт светится , хотя кому нипопадя в ps aux естественно l/p засвечивать не хочется.

Sylvia ★★★★★
(04.03.09 02:17:24 MSK) автор топика

Ссылка

Ответ на: комментарий от Sylvia 04.03.09 01:36:39 MSK

Если в исходник лезть, можно пароль спрятать. 
Примерно так:

int main(int argc,char *argv[]) {
        char *password = argv[2];

        while (*password) *password++ = '*';
        sleep(100);
}

Chumka ★★★
(05.03.09 19:00:18 MSK)

Ответ на: комментарий от Chumka 05.03.09 19:00:18 MSK

> в исходник лезть

ну если лезть можно и в environment пароль упрятать и для файла конфигурации поддержку сделать и , опционально, шифрование...

Sylvia ★★★★★
(05.03.09 19:03:53 MSK) автор топика

Ссылка

Искать хостинг с grsec/selinux?

Lego_12239 ★★
(13.03.09 01:07:18 MSK)

Ответ на: комментарий от Lego_12239 13.03.09 01:07:18 MSK

это не от меня зависит, какой сделают - такой и будет

Sylvia ★★★★★
(13.03.09 07:40:38 MSK) автор топика

Ссылка

странно что никто не предложит вариант с setproctitle, было бы интересно реализовать какой-нибудь враппер, который ставит setproctitle() а потом вызывает child'ом что-то еще , при такой схеме возможно сохранить то что было установлено враппером?

Sylvia ★★★★★
(13.03.09 07:43:53 MSK) автор топика