27 Apr
2003
27 Apr
'03
11:53 a.m.
Once upon a time, I heard Fabian Hänsel say:
Heißt gesondert , dass es das Passwort von stdin liest?
Wohl eher, daß es nicht vom stdin liest, was bei Paßworten wohl auch sinnvoll ist.
su -c 'Befehl.....' postgres | echo $passwd
Kann es sein, daß die Pipe andersrum laufen sollte?
Ein Ansatz wäre, die SecureShell zu mißbrauchen und einfach ein anderes Authentikationsverfahren als Paßwort zu verwenden. Man sollte aber schon hier und da wissen, was man tut, weil ist einmal die Authentikation ausgespäht, hat der Angreifer vollen Shell-Zugriff.
BTW, kann es sein, daß der Admin gar nicht wirklich will, daß der DB-Server läuft?
hej så länge.