Полное перенаправление ввода-вывода

@Dimofey · Регистрация: 16.12.2013

Студворк — интернет-сервис помощи студентам

Доброго времени суток! Имеется проблема с полноценным перехватом ввода-вывода в командной строке. А именно, я хочу, чтоб запускающий процесс не имел доступа к данным, полученным потомком. Для примера я решил в собственной программе выполнить, допустим

Bash
1
sudo dir

ну или точнее там скриптом получится что-то типа

Bash
1
echo myPass | sudo -S dir

. Для того, чтоб скрыть информацию полученную командой использовал такой синтаксис

Bash
1
echo myPass | sudo -S dir 1> log.txt

. Однако заметил, что при такой конструкции информация

Bash
1
[sudo] пароль для user:

отправляется не в log.txt а в терминал. Скорее всего в него же отправился и пароль, его просто не видно. Хотелось бы знать, как сделать так, чтоб все эти данные, то есть команда, запрос пароля, сам пароль ну и вывод(его я допустим смог сам) оказались именно в моей программе и не были доступны вызывающему? На всякий случай, пытался скрыть пароль такими конструкциями

Bash
1
echo myPass 1> passfile.txt | sudo -S dir 1> log.txt

и ещё что-то с "0<" но оно всё либо вообще не работало, либо выдавало тот же результат.

На всякий случай пример, где это работает так как нужно, допустим стандартным терминалом ubuntu запустить для чистоты эксперимента другой терминал, допустим xterm. Вот выполнив вручную в них те же действия, получим именно то что нужно, ничего сделанное xterm дефолтный терминал не узнает. (скрин этого примера приложил)

@Marinero · 14.10.2017, 10:18

Сообщение от Dimofey

я хочу, чтоб запускающий процесс не имел доступа к данным, полученным потомком

Какой-то бред… Постарайтесь объяснить что Вы задумали и зачем Вам это надо.

@Dimofey · 15.10.2017, 01:33 **[ТС]**

Marinero, я имею ввиду, что если мою программу запустить на "чужом" компьютере, с неизвестными мне возможностями к прослушке, их, допустим, эмулятор терминала имеет возможность сохранить пароль, который я ввёл. То есть, я хочу иметь удалённый доступ к собственному хосту так, чтобы из локального после моих действий и выхода посторонний юзер гарантированно не смог вытащить мои данные с помощью, например, history. То есть, после запуска моей программы и выхода из неё в терминале из которого я его запустил должен быть примерно такой отчёт

Bash
1
2
[dmitry@dmitry-desktop ~]$ myProgramm
[dmitry@dmitry-desktop ~]$

Но у меня вместо этого, если программа запускала sudo вывод примерно такой:

Bash
1
2
3
[dmitry@dmitry-desktop ~]$ myProgramm
[sudo] пароль для dmitry:    //плохая строчка,её хочу убрать
[dmitry@dmitry-desktop ~]$

я хочу, чтоб запускающий процесс не имел доступа к данным, полученным потомком

Я имею ввиду что "чужой" эмулятор терминала, он с фиолетовым фоном на примере запускает мою программу, и в нём не выводятся никакие данные посылаемые моей программой. Пока мне приходится на чужих машинах вместе с моей программой таскать и использовать дополнительный эмулятор терминала.

@Marinero · 15.10.2017, 10:41

Сообщение от Dimofey

удалённый доступ к собственному хосту

настраивается не на логин-пасс, а через RSA-ключ.

Сообщение от Dimofey

[sudo] пароль для dmitry:

ввод этих паролей в терминале не только НЕ сохраняется, но даже и НЕ отображается.

Сообщение от Dimofey

echo myPass

гораздо более серьезная «дыра» в безопасности, чем ввод пароля в терминале
Но на всякий случай: стоит помнить что есть не только stdout (стандартный вывод), который Вы перенаправляете 1>, но и stderr (вывод ошибок), который перенаправляется 2>. Или все вместе &>. Кроме того, для выполнения скрипта можно вызывать отдельный терминал с запретом записи истории либо ее очисткой.
Однако, еще раз повторю, не там Вы ищите проблему с безопасностью.

@Dimofey · 15.10.2017, 16:59 **[ТС]**

Marinero, про отдельный терминал я уже писал, так и делается,, но это костыльно, очень не профессионально. Дело в том, не единственный способ работы приложения, там есть иная ситуация, работодателю может понадобиться, чтоб работники на локальном устройстве выполняли все sudo и ей подобные операции через эту программу, сам пароль в неё вшит, и знает его только работодатель и админ. Это прога, по сути псевдотерминал и она журналирует все root действия, допустим по сети в главный комп. Работник может оказаться халявщиком, и запустит прогу не через безпамятный терминал, а через всепомнящий. Сделав самое безобидное sudo apt update, программа легко и без проблем выдаст запрос пароля и пароль терминалу халявщика. С паролем он может выполнить через sudo всё что угодно минуя программу и журнал. Портя системные файлы и имея чистый журнал он может спокойно заставить админа чинить комп, при этом ничего не делать. Там конечно есть ещё проблемы, но от доп. терминала надо избавиться всё равно. Про &> я знаю, но он проблему не решает.

@Marinero · 15.10.2017, 17:12

Сообщение от Dimofey

сам пароль в неё вшит

Я Вам в том числе про это и писал:

Сообщение от Marinero

гораздо более серьезная «дыра» в безопасности

Данную проблему решают не «зашивая» пароли, а разрешая безпарольный запуск необходимых рядовым пользователям программ через sudoerr

@Dimofey · 15.10.2017, 18:56 **[ТС]**

Marinero,

гораздо более серьезная «дыра» в безопасности

не, ну по этой логике и любая ручная работа в терминале с sudo тоже дыра в безопасности... Я не видел ни одной системы, которая требовала бы перед вводом пароля какой-то ручной генерации RSA и передачу в через него шифрованных паролей. Обычный прямой ввод пароля.

Данную проблему решают не «зашивая» пароли, а разрешая безпарольный запуск необходимых рядовым пользователям программ через sudoerr

не совсем, даже безобидный apt update должен журналироваться. Админ должен знать про любое изменение дальше каталога ./home

@Marinero · 15.10.2017, 19:19

У Вас, простите, какое-то искривленное понятие о безопасности. И исходя из неверных предпосылок Вы строите какую-то совершенно вывернутую логику. Простым пользователям явно запрещено

Сообщение от Dimofey

любое изменение дальше каталога ./home

поэтому и «журналировать» нечего, за исключением того что ВСЕ системные действия журналируются по умолчанию.

Сообщение от Dimofey

перед вводом пароля какой-то ручной генерации RSA и передачу в через него шифрованных паролей

Что за бред? Системы связываются асинхронными RSA-ключами что обеспечивает безопасное соединение без ввода логин/пароля.
Думаю проблема заключается в том, что при отсутствии знаний по вопросу, Вы пытаетесь изобрести свой собственный велосипед, который совершенно не вяжется с логикой системы…

@Dimofey · 15.10.2017, 19:37 **[ТС]**

Marinero, возможно я где-то не прав, я может потом дополнительно спрошу или почитаю литературу по безопасности и т.д. Пока мой вопрос значительно скромнее, я просто хочу чтоб моя программа могла как любой эмулятор терминала не выдавать ввод/вывод программе, которая вызвала мою программу (скрин для пример был). Получится и будет ли это эффективно на практике ещё посмотрю. В крайнем случае, если я захочу написать собственный эмулятор терминала "DimofeyTerm", то эта информация однозначно пригодится

@Marinero · 15.10.2017, 20:03

Сообщение от Dimofey

не выдавать ввод/вывод

Ответ был дан

Сообщение от Marinero

перенаправляете 1>, но и stderr (вывод ошибок), который перенаправляется 2>. Или все вместе &>

@Hermod · 15.10.2017, 20:32

Сообщение от Dimofey

Marinero, я имею ввиду, что если мою программу запустить на "чужом" компьютере, с неизвестными мне возможностями к прослушке

То в любом случае все ваши данные будут перехвачены так или иначе.

Уважаемый, если машина скомпрометирована значит всё. Крышка. Ничего туда вводить нельзя. И никакие программные методы вам не помогут. Элементарно ставится кейлоггер хардварный между клавой и системником. Это самое простое. Да и программно вы тоже никак не проверите. Есть методы подстраховаться но это из области ИБ, здесь баш вообще непричём.

Сообщение от Dimofey

//плохая строчка,её хочу убрать

пробел поставьте

Dimofey чтобы следов не оставлять за собой есть целые утилиты хакерские.

Сообщение от Dimofey

я просто хочу чтоб моя программа могла как любой эмулятор терминала не выдавать ввод/вывод программе

не знаю что вы хотите - перенаправляйте весь вывод ошибок и стандартный в /dev/null, вводя данные ставьте пробелы чтоб не шло в историю. или вообще затрите историю с помощью srm например

а ещё своп...
может это вам придаст спокойствия

Хотя как по мне такой фрагментарный подход к безопасности, не имеющий целостной логики - смысла не имеет.

@Dimofey · 15.10.2017, 22:53 **[ТС]**

Marinero, Ну вот я так и сделал, ничего не работает, вот даже тестовый код

Python
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
# -*- coding: utf-8 -*-
from Tkinter import *
import ttk
import subprocess
import os.path
import os
 
def closeWindow():
    root.destroy()
def _callOsProcess():
    _command='echo myPassword | sudo -S touch /etc/atest.file &> log.txt'
    pipe=subprocess.PIPE
    result=subprocess.Popen(_command, shell=True, stdin=pipe, stdout=pipe)
    result.wait()
    return  result.communicate()[0]
    
root = Tk()
root.title(u'Защищаем ввод/вывод')
root.geometry("760x390+200+100")
root.resizable(False, False)
root.protocol('WM_DELETE_WINDOW', lambda : closeWindow())
add_repository = Button(root, text=u'Вызвать команду', width=19, command=_callOsProcess)
add_repository.place(x=10, y=10)
root.mainloop()

ниже скрин с результатом, ничего не убралось

@Dimofey · 15.10.2017, 23:02 **[ТС]**

Hermod,

Сообщение от Hermod

То в любом случае все ваши данные будут перехвачены так или иначе.
Уважаемый, если машина скомпрометирована значит всё. Крышка. Ничего туда вводить нельзя. И никакие программные методы вам не помогут. Элементарно ставится кейлоггер хардварный между клавой и системником. Это самое простое. Да и программно вы тоже никак не проверите. Есть методы подстраховаться но это из области ИБ, здесь баш вообще непричём.

Я знаю несколько способов, чтоб даже прилюдно введённые пароли нельзя было повторить. С этим я сам справлюсь, вопрос был изначально в другом.

Сообщение от Hermod

Сообщение от Dimofey
//плохая строчка,её хочу убрать
пробел поставьте
Dimofey чтобы следов не оставлять за собой есть целые утилиты хакерские.

Возможно, но устранение этой, по идее элементарной проблемы избавляет от лишних телодвижений и риском почистить не все следы.

Сообщение от Hermod

не знаю что вы хотите - перенаправляйте весь вывод ошибок и стандартный в /dev/null

Вот, буквально чуть выше кинул скрин и код, не сработало!

@Marinero · 16.10.2017, 00:02

Знаете, первый раз задумался как прокомментировать… То ли просто послать по известному адресу… Это как: распрашивать про строительство корабля, а потом построить самолет и возмущаться что он плохо плывет… Номально вопросы задавать про bash, а зафигачить код на python?
И кроме всего

Сообщение от Dimofey

stdin=pipe, stdout=pipe

ни на какие мысли не натолкнуло? Подсказываю

Сообщение от Marinero

не только stdout (стандартный вывод), который Вы перенаправляете

Добавлено через 4 минуты
И еще раз спрашиваю, если надо питоновый скрипт выполнять с повышенными привелегиями почему не поставить безпарольный доступ к нему через sudoers?

@Dimofey · 16.10.2017, 04:30 **[ТС]**

Marinero,

Сообщение от Marinero

Сообщение от Dimofey
stdin=pipe, stdout=pipe
ни на какие мысли не натолкнуло? Подсказываю

Спасибо, намёк понял. там stderr.

Сообщение от Marinero

Номально вопросы задавать про bash, а зафигачить код на python?

Вообще ничего на питоне не собирался делать. Честно. Просто на моём компе это был самый быстрый способ сделать приложение с кнопкой. Lazarus поломан, плюсы долго на графику настраивать. До последнего делал всё напрямую в bash. Там до сих пор не работает, но ладно, в питоне работает уже хорошо.

Сообщение от Marinero

И еще раз спрашиваю, если надо питоновый скрипт выполнять с повышенными привелегиями почему не поставить безпарольный доступ к нему через sudoers?

Это не во всех задачах проканает...

@Marinero · 16.10.2017, 09:31

Сообщение от Dimofey

Это не во всех задачах

На будущее: начинайте лучше с самой задачи. Потому что определив неверно путь её достижения и распрашивая о его реализации Вы только усложняете положение.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@Dimofey 1 / 1 / 1 Регистрация: 16.12.2013 Сообщений: 108
	15.10.2017, 16:59 [ТС]
	Marinero, про отдельный терминал я уже писал, так и делается,, но это костыльно, очень не профессионально. Дело в том, не единственный способ работы приложения, там есть иная ситуация, работодателю может понадобиться, чтоб работники на локальном устройстве выполняли все sudo и ей подобные операции через эту программу, сам пароль в неё вшит, и знает его только работодатель и админ. Это прога, по сути псевдотерминал и она журналирует все root действия, допустим по сети в главный комп. Работник может оказаться халявщиком, и запустит прогу не через безпамятный терминал, а через всепомнящий. Сделав самое безобидное sudo apt update, программа легко и без проблем выдаст запрос пароля и пароль терминалу халявщика. С паролем он может выполнить через sudo всё что угодно минуя программу и журнал. Портя системные файлы и имея чистый журнал он может спокойно заставить админа чинить комп, при этом ничего не делать. Там конечно есть ещё проблемы, но от доп. терминала надо избавиться всё равно. Про &> я знаю, но он проблему не решает. 0

@Dimofey 1 / 1 / 1 Регистрация: 16.12.2013 Сообщений: 108
	15.10.2017, 19:37 [ТС]
	Marinero, возможно я где-то не прав, я может потом дополнительно спрошу или почитаю литературу по безопасности и т.д. Пока мой вопрос значительно скромнее, я просто хочу чтоб моя программа могла как любой эмулятор терминала не выдавать ввод/вывод программе, которая вызвала мою программу (скрин для пример был). Получится и будет ли это эффективно на практике ещё посмотрю. В крайнем случае, если я захочу написать собственный эмулятор терминала "DimofeyTerm", то эта информация однозначно пригодится 0

Полное перенаправление ввода-вывода

Решение