Ejecutar comandos sin información sensible en Unix/Linux
Acabo de encontrar (acabo de rescatar de la cola de pendientes :-D) un artÃculo que explica los peligros de ejecutar comandos en un terminal Unix/Linux incluyendo información sensible en la lÃnea de comandos (como, por ejemplo, claves de acceso). En este caso concreto se centra en el intérprete de SQL (sqlplus) de Oracle, pero no deja de ser aplicable a cualquier comando ejecutado en consola.
No he podido evitar recordar como hace unos doce o trece años tenÃamos que tener especial cuidado tras nuestros monitores de fósforo verde de los datos que los administradores del sistema podÃan ver sobre nuestra actividad en la red.
Para centrar un poco más la acción, debeis tener en cuenta que, por aquel entonces, el disponer en la facultad/escuela de una cuenta con acceso a internet era algo realmente difÃcil de conseguir. Aunque estuviera terminantemente prohibido compartir claves de acceso al sistema, era una práctica habitual. ¿Como puedes pretender que un futuro ingeniero no se interese por esa nueva cosa llamada internet? El acceso desde casa sólo podÃa hacerse a través de la lÃnea telefónica, con un ISP que habitualmente no estaba en tu misma provincia. El precio era el equivalente a realizar una llamada telefónica interprovincial. No fue hasta que apareció InfovÃa que la red empezó a popularizarse en ambientes domésticos.
En el caso de la escuela, nos conectábamos a través de terminales DEC. En concreto, recuerdo especialmente el VT220, supongo que porque era el que predominaba en la sala. Todos compartÃamos un mismo servidor, donde tenÃamos nuestra cuenta en el sistema. El terminal era una “caja tonta” que se conectaba al servidor.
Como podeis suponer, el terminal tenÃa un monitor de fósforo verde y sin ningún tipo de capacidad gráfica. El acceso a internet era en modo texto y se hacÃa a través de distintas aplicaciones, en función de lo que quisieramos hacer. Asà a bote pronto recuerdo:
- Lynx: navegador web en modo texto. Posteriormente salió links, cuya principal caracterÃstica es que ¡soporta frames! Todo un avance. La cantidad de páginas que no podÃamos ver por culpa de los dichosos marcos.
- Elm y, posteriormente mutt: gestor de correo.
- Slrn: lector de news (para el acceso a usenet).
- Sirc: Acceso a los canales de IRC.
- Ftp, telnet, gopher, finger… y resto de utilerÃa básica.
Por supuesto todas estas aplicaciones pueden seguir usándose y están disponibles en cualquier distribución de linux.
En este escenario, el administrador podÃa ver el comando que ejecutaba cada usuario sÃmplemente ejecutando un “ps“. Si no querÃamos que el administrador viera más de la cuenta, procurábamos ejecutar los comandos con el mÃnimo número de parámetros posibles. Por ejemplo, al invocar a links, podemos indicar en la lÃnea de comandos directamente una página web. Haciendo esto, podrÃan ver dicha página en nuestro proceso:
Si ejecutamos
Y otro usuario o administrador podrÃa ver
lolo 17613 0.0 0.1 8108 2428 pts/1 S+ 13:46 0:00 links www.pedazodepaginaqueexplicacomopetarununix.com
root 17644 0.0 0.0 4556 732 pts/3 S+ 13:46 0:00 grep links
En estos casos, es mucho más recomendable entrar en links llamando al comando sin ningún parámetro y, una vez dentro del mismo, cargar la página web que nos interese. Esto mismo es aplicable a la hora de hacer un ftp, llamar algún comando de correo…
En nuestro caso, el administrador solo habrÃa visto
lolo 17613 0.0 0.1 8108 2428 pts/1 S+ 13:46 0:00 links
root 17644 0.0 0.0 4556 732 pts/3 S+ 13:46 0:00 grep links
Y ahà queda este truquillo tan tonto de newbie pero que me recuerda a mis primeros escarceos con las redes y los unixes. Retro que es uno :’)
Relacionado
CategorÃas Geek, Internet, Linux, Redes, Retro | trackback | 2 Comentarios » | Visto 1462 veces
RSS 2.0
