MySQL在Linux系统中隐藏命令行中的密码的方法
在命令行中输入命令并不是一个好主意,会造成安全问题。但是如果你决定去写一个应用,而这个应用需要在命令行中使用密码或者其他敏感信息。那么,你能通过以下方法禁止系统的其他用户轻易的看到这些敏感数据呢?,类似MySQL在ps命令下隐藏密码。
假设我这里系统里两个用户,一个是root,一个是dabu。测试系统为centos6.5在按照下面的步骤做:
[root@dabu.info~]#sudabu#切换到dabu这个账号 [dabu@dabu.info~]$cd~#切换到dabu的home目录 [dabu@dabu.info~]$touchpwhide.c#创建pwhide.c文件 [dabu@dabu.info~]$ls
显示:
pwhide.c
将下面的代码保存到pwhide.c:
#include<stdio.h>
#include<unistd.h>/*unix类系统定义符号常量的头文件*/
#include<string.h>/*字符数组的函数定义的头文件*/
#include<sys/types.h>/*Unix/Linux系统的基本系统数据类型的头文件*/
intmain(intargc,char*argv[])/*形参argc指命令行中参数的个数(包括执行文件本身)。形参argv是一个纸箱字符串的指针数组*/
{
inti=0;
pid_tmypid=getpid();/*获得该程序运行时候的pid*/
if(argc==1)/*如果argc参数个数等于1,按要求,应该argc要为2才行*/
return1;/*异常退出*/
printf("argc=%dandargumentsare:\n",argc);/*打印argc参数个数*/
for(i;i<argc;i++)/*打印i序号,以及对应的argv数组指针元素*/
printf("%d=%s\n",i,argv[i]);/*打印i序号,以及对应的argv数组指针元素*/
printf("Replacingfirstargumentwithx:es...Nowopenanotherterminalandrun:psp%d\n",(int)mypid);/*打印该字符串和该程序是的pid*/
fflush(stdout);//*清空缓冲区,并打印其内容*/
memset(argv[1],'x',strlen(argv[1]));/*注意,这里是本文的重点和关键点。(原文http://www.dabu.info/?p=5150)就是利用memset(void*s,intc,size_tn)函数用x来覆盖密码的每个字符*。你也可以将x替换为a,然后重新编译运行,再ps看看有什么不同/
getc(stdin);/*等待并获取键盘输入,其实这里主要的作用是保持该c程序在运行状态,这样才能通过ps查看pid来观察密码是否被隐藏。所以在这个函数运行后,不能再有任何的键盘操作*/
return0;/*正常退出*/
#include<stdio.h>
#include<unistd.h>/*unix类系统定义符号常量的头文件*/
#include<string.h>/*字符数组的函数定义的头文件*/
#include<sys/types.h>/*Unix/Linux系统的基本系统数据类型的头文件*/
intmain(intargc,char*argv[])/*形参argc指命令行中参数的个数(包括执行文件本身)。形参argv是一个纸箱字符串的指针数组*/
{
inti=0;
pid_tmypid=getpid();/*获得该程序运行时候的pid*/
if(argc==1)/*如果argc参数个数等于1,按要求,应该argc要为2才行*/
return1;/*异常退出*/
printf("argc=%dandargumentsare:\n",argc);/*打印argc参数个数*/
for(i;i<argc;i++)/*打印i序号,以及对应的argv数组指针元素*/
printf("%d=%s\n",i,argv[i]);/*打印i序号,以及对应的argv数组指针元素*/
printf("Replacingfirstargumentwithx:es...Nowopenanotherterminalandrun:psp%d\n",(int)mypid);/*打印该字符串和该程序是的pid*/
fflush(stdout);//*清空缓冲区,并打印其内容*/
memset(argv[1],'x',strlen(argv[1]));/*注意,这里是本文的重点和关键点。(原文http://www.dabu.info/?p=5150)就是利用memset(void*s,intc,size_tn)函数用x来覆盖密码的每个字符*。你也可以将x替换为a,然后重新编译运行,再ps看看有什么不同/
getc(stdin);/*等待并获取键盘输入,其实这里主要的作用是保持该c程序在运行状态,这样才能通过ps查看pid来观察密码是否被隐藏。所以在这个函数运行后,不能再有任何的键盘操作*/
return0;/*正常退出*/
}
然后编译pwhide.c,命令如下:
[dabu@dabu.info~]$gcc-ohidepwhide.c#编译后的文件叫hide [dabu@dabu.info~]$ls
显示:
hidepwhide.c
用编译后的程序进行测试:
[dabu@dabu.info~]$./hidedabu.info//dabu.info作为参数(其实就是密码)进行测试 显示: argc=2andargumentsare: 0=./hide 1=dabu.info Replacingfirstargumentwithx:es...Nowopenanotherterminalandrun:psp15585
注意:psp15585。你可能和我的不一样,因为pid每次运行,都会变的。你显示什么数字,后面就用什么数字。
显示出上面结果后,不再进行任何操作,也不关闭这个终端窗口(命令窗口)。然后在用root账号登录,就是相当于同时开两个终端窗口。输入下面的命令:
[root@dabu.info~]#psp15585#就是运行./hidedabu.info后,得到的该程序的pid 显示: PIDTTYSTATTIMECOMMAND 15585pts/0S+0:00./hidexxxxxxxxx//dabu.info共有9个字符,所以这里就显示9个x
由此测试的结果,我们知道了这个方法能够使MySQL如何在ps命令下隐藏命令行中的密码。以此类推,在写其他程序后,就知道如何使用这个方法来让程序在ps命令下隐藏命令行参数。
为了简明起见,上面的代码可能不怎么好移植到其他平台,但是它可以工作在linux上,并且如愿的表达了关键点。在其它环境,如FreeBSD,你可以使用系统调用setproctitle()来为你做这种苦力活。关键的一点是重写argv