Вопросы Теги

кэширование основного пароля на сервере Linux

Существует много сигналов, чье расположение по умолчанию состоит в том, чтобы завершить процесс. Окончательный сигнал завершения является SIGKILL, так как он не может быть обработан, и процесс не имеет никакого выбора, кроме как умереть. Это однако также означает, что при отправке его процесс лишен возможности вымыться. Поэтому благовоспитанность требует для отправки сигнала как SIGTERM, который может быть обработан первый и единственный, если процесс не выходит, через какое-то время отправляют ему SIGKILL.

Обратите внимание, что SIGINT и SIGQUIT не являются хорошими кандидатами на произвольное завершение процесса. Вследствие того, что они могут быть сгенерированы с клавиатуры терминала, много приложений используют их для особых целей. Например, интерпретатор Python использует SIGINT для генерации KeyboardInterrupt исключение (также на интерактивных сессиях Python, куда это просто возвращается к подсказке) и JVM использует SIGQUIT для дампа отслеживаний стека. SIGINT и SIGQUIT действительно остаются эффективными для большинства стандартных утилит командной строки как find или cat.

Во время завершения работы системы большая часть UNIX и систем Linux отправляют SIGTERM в весь процесс, сопровождаемый на 5 секунд ожидают, сопровождаемые SIGKILL. Это - рекомендуемый способ безопасно закрыть произвольный процесс.

Обратите внимание также, что даже SIGKILL не может завершиться, процесс всунул бесперебойное ожидание, пока процесс не просыпается.

7
07.04.2012, 17:09
1 ответ

Используйте отдельную зашифрованную файловую систему (который может быть на самом деле сохранен в регулярном файле и смонтирован смонтированный через dm). Мудрый безопасностью полномочия доступа к файловой системе сделают тот же прием как хранение его в виртуальной памяти рабочего процесса - к обоим может получить доступ корень (если Вы не принимаете некоторые дополнительные меры для предотвращения этого). На самом деле должно быть менее вероятно, что пароль закончится на подкачке, чем в случае кэширования его в помощнике агента; но необходимо сохранить подкачку зашифрованной так или иначе (или отключенный полностью), если безопасность является основным беспокойством.

2
27.01.2020, 20:20
  • 1
    Спасибо peterph. Это в значительной степени, что я закончил тем, что использовал. Я смонтировал ecryptfs файловую систему с помощью пароля, который был сгенерирован с помощью ssh закрытого ключа. Таким образом, я только загружаю ssh ключ однажды в памяти, и от него, я могу генерировать другие пароли... Я должен, вероятно, отправить код онлайн некоторое время, но не вполне вернулся к нему. –  Yoav Aner 13.11.2012, 21:45

Теги

Похожие вопросы