<p dir="ltr">It's a bad idea to have secrets appear in argv[], or even to have them appear in terminal output (I've worked in several environments where all terminal output was recorded - obviously this includes echoed input). ssh-askpass and friends offer a convenient way to prompt for a secret without having that secret appear in process information or terminal output.</p>
<p dir="ltr">Back when kerberos was still commonly supported on network elements it offered a better way still...</p>
<p dir="ltr">-RH</p>
<div class="gmail_extra"><br><div class="gmail_quote">On Aug 4, 2016 4:27 PM, "heasley" <<a href="mailto:heas@shrubbery.net" target="_blank">heas@shrubbery.net</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thu, Aug 04, 2016 at 10:35:11AM -0500, Brandon Ewing:<br>
> On Thu, Aug 04, 2016 at 03:27:53PM +0000, heasley wrote:<br>
> ><br>
> > Not exactly, but you could wrap it in shell that prompts then executes<br>
> >     *login -p $passwd<br>
> > unfortunately, that will appear in ps(1).  you could also use include<br>
> > in the .cloginrc to include a file that the shell wrapper creates during<br>
> > runtime.<br>
> ><br>
> > its not impossible to add such a feature though; it just doesnt exist now.<br>
> ><br>
> > of course, if you can not trust those with root ....<br>
><br>
> Hrm, I kind of like this approach -- environment variable passing into<br>
> command line.  Would it be feasible to reset $0 in *login to mask the passed<br>
> in password in a process listing?<br>
<br>
it may be; i have not tried it.  Note however that even doing that would<br>
leave a race, between start-up and squashing the argv[] index.<br>
<br>
______________________________<wbr>_________________<br>
Rancid-discuss mailing list<br>
<a href="mailto:Rancid-discuss@shrubbery.net">Rancid-discuss@shrubbery.net</a><br>
<a href="http://www.shrubbery.net/mailman/listinfo/rancid-discuss" rel="noreferrer" target="_blank">http://www.shrubbery.net/<wbr>mailman/listinfo/rancid-<wbr>discuss</a><br>
</blockquote></div></div>