Tunnuksista ja salasanoista hieman teknisemmin

[ajaaskel]

Tämä on jatkoa aiemmalle keskustelulle

http://forum.ubuntu-fi.org/index.php?topic=36910.msg370035#msg370035

joka heräsi siitä että komentorivillä tai skriptissä

Koodia: [Valitse]

mysqldump  -u<tunnus> -p<salasana>
tunnus ja salasana paljastuvat jos sattuu katsomaan vaikkapa "ps -ef" komennolla.

Lisäksi keskustelua oli ssh-yhteyden aikana käytetyistä salasanoista.
------------------------------------------------------------------------------------------------------------

Menee kahteen eri alueeseen tämä keskustelu tunnuksista ja salasanoista:

1) MySQL
"Tomin" on oikeilla jäljillä mutta linkki ei kerro ihan koko asiaa.   Näkemistäni parista eri tavasta välttää komentorivillä näkyvä tunnus tai salasana on paras juuri tuo luoda ".my.cnf" tiedosto.  Tuossa on vielä pieni juoni: Tiedostossa voi käyttää myös [mysqldump]  blokkia (ei siis [client]) mitä ei dokumenteissa näkynyt mutta tiesin siitä muuta kautta:
http://stackoverflow.com/questions/9293042/mysqldump-without-the-password-prompt

2) SSH
SSH-yhteyksiä varten kannattaa generoida avaimet.  Avaimia generoitaessa voit antaa avainsalasanan (passphrase).  Tuo avainsalasana suojaa sitä yksityistä avaintasi jos käy niin että avaimesi joutuu vääriin käsiin. 
Jotta avaimen toistuva käyttö yhteyttä avattaessa jonnekin ei kävisi hankalaksi niin avaimen salasanan saa pysymään määräajan muistissa "ssh-add" komennolla, esimerkiksi

Koodia: [Valitse]

ssh-add  -t 8h 
pitää avaimen salasanan muistissa työpäivän ajan 8 tuntia.  Tuohon voit tietysti antaa minkä ajan tarvitset.
Nyt kun aukaiset ja suljet ssh-yhteyden minne hyvänsä niin avainsalasanaasi ei kysellä ennen kuin määräaika umpeutuu. Salasanaa ei kysellä myöskään kun avaat "sftp" yhteyden tiedostoselaimestasi ssh-kohteeseen jolloin voit graafisesti käsitellä tiedostoja, tietysti oikeuksien rajoissa.

http://www.homelinuxpc.com/download/ssh_avaimet.html

[99]

tunnus ja salasana paljastuvat jos sattuu katsomaan vaikkapa "ps -ef" komennolla.

Tosin vieläkään ei ole tietoa saatu että kelpaako hidepid estoksi.

[ajaaskel]

tunnus ja salasana paljastuvat jos sattuu katsomaan vaikkapa "ps -ef" komennolla.

Tosin vieläkään ei ole tietoa saatu että kelpaako hidepid estoksi.

Kelpaa pid: n piilottamiseen.  Silti parempi on korjata alkuperäinen ongelma eikä piilottaa sitä "hidepid": llä.

[99]

Kelpaa pid: n piilottamiseen.  Silti parempi on korjata alkuperäinen ongelma eikä piilottaa sitä "hidepid": llä.

Mikä "ongelma"? Palveluntarjoaja on tehnyt nuo estot valmiiksi, joten miksi vielä pitäisi tehdä monimutkaisemmaksi asiaa? Ei sillä etteikö siitä sinänsä haittaa olisi, mutta mitä hyötyä siitä on?

[raimo]

Nyt taisi vihdoinkin mennä jakeluun tämä avainasia, monesti olen sitä yrittänyt ymmärtää yhtään ymmärtämättä. 
Tuo etäavaimen tiedosto .ssh/authorized_keys ilmeisesti on ollut epäselvä/vääräsisältöinen minulla.
Kiitos paljon ajaaskel!

ps. miten muuten kun tuossa ohjeessa chmod komennot ajetaan sudolla? Onko se oikein, en esim. web-hotellissa pääse sudoa käyttämään. No tavallinen chmod onnistuu kyllä.

[nm]

Mikä "ongelma"? Palveluntarjoaja on tehnyt nuo estot valmiiksi, joten miksi vielä pitäisi tehdä monimutkaisemmaksi asiaa? Ei sillä etteikö siitä sinänsä haittaa olisi, mutta mitä hyötyä siitä on?

Ehkä jossain vaiheessa siirrät skriptisi toiselle alustalle, jossa hidepid ei olekaan käytössä ja olet ehtinyt unohtaa koko asian...

Olen samaa mieltä Arton kanssa, että salasanoja ei pitäisi sisällyttää komentoriville, etenkään kun muita vaihtoehtoja on olemassa.