Di /etc/ssh/sshd_config
, ada opsi yang disebut AcceptEnv
yang memungkinkan klien ssh untuk mengirim variabel lingkungan. Saya harus dapat mengirim sejumlah besar variabel lingkungan. Perubahan ini pada setiap koneksi dari klien, jadi menempatkan mereka dalam skrip login di server akan lebih sulit.
Saya pernah membaca itu "AcceptEnv *"
tidak aman. Saya ingin memahami mengapa sebelum saya mencoba untuk mendapatkan daftar semua variabel lingkungan yang berusaha diatur untuk diletakkan di sana.
Mengapa itu dianggap tidak aman? Bisakah saya mendapatkan contoh?
sumber
Jangan terima variabel lingkungan:
Lihat exploit Shellshock yang keluar baru-baru ini .. jika Anda menerima variabel lingkungan maka Anda membuka exploit yang benar-benar jahat.
sumber