saurais voir] In-Reply-To: <[email protected]>
On Sat, Feb 14, 2026 at 06:35:06PM +0900, Charles Plessy wrote: > Certes non, alors avec un utilisateur standard sur une Debian standard, > on peut emêcher BASH de d'enregistrer la commande en ajoutant un espace > devant. Car `/etc/skel/.bashrc` contient `HISTCONTROL=ignoreboth`. si vraiment vous faites de la secu, il ne faut pas laisser un mdp stratégique en clair sur le système (ni dans history, ni dans .netrc...) il faut un agent externe ou du cryptage et comme on est dans un envrionement scripté, le plus simple est d'avoir un petit serveur (busybox nc -E ou busybox httpd) qui contient tous les secrets sur une machine tiers. comme ca meme qq1 qui tenterait de retrouver des traces de données effacées ne pourra rien. la strat. donc c'est de faire un pass=$(curl -s http://secrets.lan/pass) evidement: secrets.lan doit servir uniquement pendant les installs et si posssible sur un dispositif réseau le plus confiné possible. selon la deter et la proximité du pirate, "etre sur le meme switch" ne fonctionne pas à moins que vous détectiez le ARP cache poisonning (et du coup l'install en cours peut servir d'appat ;)). Bien à vous -- Marc Chantreux
