奇淫巧技之程序启动后在进程列表中隐藏密码等关键信息

最近读了下mongodb的源码。

这个过程中，发现了一个很有意思的代码段，即程序启动后，如何在进程列表中隐藏敏感信息如密码的处理。

先说下使用场景：

mongodb支持服务端js脚本，所以我们写了一些服务端js脚本比如检查复制集状态之类。

这样，我们可以使用“mongo ip:port/dbname /path/test.js”这种方式来执行服务端js。

但是mongodb复制集初始化之后，我们又加了账号认证。在不登录的情况下，肯定是没法执行的。

所以最终命令变成了这个样子：

mongo ip:port/dbname -u user -p password /path/test.js

mongo在使用过程中，必然会在进程列表中打印上面的帐号密码。但是在使用过程中，我们看到，实际上mongo对应的进程列表中，密码字段是一堆的“x”。感觉很神奇，后面看了mongodb的源码之后才发现，原来这是mongo客户端入口处做了特殊的处理，属于一种“奇淫巧技”。

先直接上代码：

int _main(int argc, char* argv[], char** envp) {

省略中间一些代码内容

// hide password from ps output

for (int i = 0; i < (argc - 1); ++i) {

if (!strcmp(argv[i], "-p") || !strcmp(argv[i], "--password")) {

char* arg = argv[i + 1];

while (*arg) {

*arg++ = 'x';

}

}

}

二进制可执行程序，通常都可以接收外部参数，在入口处都会传一个argc表示命令行的参数个数，一个argv的参数列表数组（字符指针数组）传入具体的参数。

mongo在启动中，帐号密码字段就通过argv传给了程序。

因为参数列表数组的内容不是常量，可以修改。所以，mongo在检测到了到了如果参数列表中有密码字段（密码是通过-p password 或者—password password格式传入的，所以可以检查参数列表中有没有“-p”或者 “—password”），就把密码中每个字符修改为“x”。

这样，最终在进程列表中查询的时候，自然密码部分就是一堆的”x”了。

总结:本篇讲的在进程列表中隐藏密码关键信息的方式是修改main函数入参.

虽然mongo的这种处理方式很有创意，但是还是有失效时候。后面的文章我会再介绍，今天先写到这里。