एक स्क्रिप्ट द्वारा उपयोग किए जाने वाले पासवर्ड को स्टोर करने का सबसे कम असुरक्षित तरीका क्या है?

मेरे पास एक बैश स्क्रिप्ट है जो स्वचालित रूप से मेरे उपयोगकर्ता नाम और पासवर्ड का उपयोग करके एक सेवा के साथ प्रमाणित होती है। वर्तमान में क्रेडेंशियल्स को स्क्रिप्ट के भीतर सादे पाठ के रूप में संग्रहीत किया जाता है।

स्क्रिप्ट एक्सेस की अनुमति देते समय मुझे इन क्रेडेंशियल्स को सबसे सुरक्षित रूप से संग्रहीत करने के लिए क्या सावधानियां बरतनी चाहिए?

स्पष्टीकरण के बिंदु:

• मैं समझता हूं कि, यदि उपलब्ध हो, तो प्रमाणीकरण के अन्य तरीकों का उपयोग किया जाना चाहिए। मैं अभी भी जानना चाहता हूं कि उस मामले में क्या करना है कि पासवर्ड प्रमाणीकरण एकमात्र विकल्प है।
• पासवर्ड को बिल्कुल भी स्टोर न करना यहाँ स्वीकार्य उत्तर नहीं है। मैं उस मामले के बारे में पूछ रहा हूं जिसमें स्क्रिप्ट में पासवर्ड तक पहुंच नहीं होनी चाहिए।

किस तरह की सेवा? कुछ सेवाओं को प्रमाणित करने की अन्य विधियाँ हैं, जैसे SSH एजेंट के साथ SSH के लिए SSH कुंजियाँ।

मैं स्क्रिप्ट से अलग पासवर्ड स्टोर करूँगा, और सुनिश्चित करूँगा कि सभी पथ घटकों में सही अनुमतियाँ सेट हैं। उदाहरण के लिए, सुनिश्चित करें कि पथ /path/to/fileमें /, /pathऔर /path/toआपके द्वारा विश्वास किए जाने वाले उपयोगकर्ता के स्वामित्व में हैं ( root) और ये किसी ऐसे व्यक्ति द्वारा लिखने योग्य नहीं हैं, जिन्हें आपकी फ़ाइलों को देखने की अनुमति नहीं है। अंत में, file600 या 400 के लिए अनुशंसित अनुमतियाँ हैं ।

यही कारण है कि fileऐसा दिखाई दे सकता:

PASSWORD='something that you cannot remember'

अपनी स्क्रिप्ट में, चर आयात करने के लिए नीचे दिए गए कोड का उपयोग करें:

. /path/to/file

अपनी स्क्रिप्ट के अनुसार, सुनिश्चित करें कि इसमें छेद नहीं हैं, जो हमलावरों को स्क्रिप्ट के संदर्भ में कोड निष्पादित करने की अनुमति दे सकता है (जैसे अनियंत्रित वातावरण जिसमें एक मनमाना $PATHचर सेट हो सकता है या अन्य फ़ाइलों का अवैध उपयोग हो सकता है (जैसे विश्व-लेखन योग्य फ़ाइल को सोर्स करना) ।

आपके पासवर्ड की वास्तविक सुरक्षा के लिए, आप नहीं कर सकते। यह किसी भी तरह अन्य सेवा के लिए उपलब्ध होना चाहिए। एक विकल्प के रूप में, आप फ़ाइल / स्क्रिप्ट को पासवर्ड का उपयोग करके एन्क्रिप्ट कर सकते हैं opensslया gpgइसलिए आपको क्रेडेंशियल अनलॉक होने से पहले पासवर्ड दर्ज करने की आवश्यकता है। यह विशेष रूप से उपयोगी है यदि आपकी सेवा का पासवर्ड याद रखना कठिन है।

फ़ाइल में पासवर्ड को हार्डकोड करने के बजाय, पासवर्ड को एक अलग फ़ाइल में संग्रहीत करें और फ़ाइल ( chmod 700या chmod 500) की सुरक्षा करें ताकि केवल अधिकृत उपयोगकर्ता ही इसे एक्सेस कर सकें।

cat /dir/to/file/with/.passwordफ़ाइल को पढ़ने और इसकी सामग्री को एक चर में संग्रहीत करने के बजाय पासवर्ड को पुनः प्राप्त करें ।

मुझे पता है कि यह एक पुराना प्रश्न है लेकिन मैंने इस तरह के मुद्दे का सामना किया और मैंने इसे हल करने के लिए उबंटू की कुंजी रिंग का उपयोग किया। यहाँ ubuntu 18.04LTS पर एक समाधान है टर्मिनल खोलें keyring set {{service}} {{username}} उदाहरण के लिए नीचे लिखें यदि आप इसका उपयोग स्कूल पासवर्ड लॉगिंग के लिए कर रहे हैं:

keyring set school mohamed

यह आपको पासवर्ड दर्ज करने के लिए लॉग इन करेगा। अब आपके द्वारा दर्ज किया गया पासवर्ड उबंटू कीरिंग में संग्रहीत है।

इस पासवर्ड को टर्मिनल में लिखने के लिए:

keyring get school mohamed

स्क्रिप्ट के संदर्भ में इसका उपयोग करने के लिए:

password=$(keyring get school mohamed)

अब पासवर्ड आपके द्वारा पहले दर्ज किए गए पासवर्ड के विपरीत है।