क्या संवेदनशील डेटा को चोगड में पारित करने के लिए इको का उपयोग करना सुरक्षित है?

मैं कुछ उपयोगकर्ता खाता पासवर्ड का उपयोग करके बड़े पैमाने पर सेट करने की कोशिश कर रहा हूं chpasswd। पासवर्ड बेतरतीब ढंग से और प्रिंट किए जाने चाहिए stdout(मुझे उन्हें लिखने या पासवर्ड स्टोर में रखने की आवश्यकता है), और इसमें भी उत्तीर्ण होना चाहिए chpasswd।

Naively, मैं इसे इस तरह करना होगा

{
  echo student1:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
  echo student2:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
} | tee >(chpasswd)

हालाँकि मैं नए पासवर्ड को कमांडलाइन तर्क के रूप में पारित करने के बारे में चिंता करता हूं echo, क्योंकि तर्क आमतौर पर अन्य उपयोगकर्ताओं के लिए दिखाई देते हैंps -aux (हालांकि मैंने कभी भी कोई echoलाइन दिखाई नहीं दी ps)।

क्या मेरे लौटाए गए पासवर्ड के लिए एक मूल्य निर्धारित करने का एक वैकल्पिक तरीका है, और फिर इसे पास करना है chpasswd?

आपका कोड सुरक्षित होना चाहिए echo क्योंकि यह एक शेल-इन होने के बाद से प्रक्रिया तालिका में दिखाई नहीं देगा।

यहाँ एक वैकल्पिक समाधान है:

#!/bin/bash

n=20
paste -d : <( seq -f 'student%.0f' 1 "$n" ) \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

यह आपके छात्र के नाम और पासवर्ड बनाता है, n उनमें से, बिना किसी कमांड के किसी भी कमांड लाइन पर कोई पासवर्ड पारित किए बिना।

pasteउपयोगिता गोंद एक साथ कॉलम और आवेषण परिसीमक उन्हें बीच में के रूप में कई फ़ाइलों। यहां, हम उपयोग करते हैं: सीमांकक के रूप में करते हैं और इसे दो "फाइलें" (प्रक्रिया प्रतिस्थापन) देते हैं। पहले में एक seqकमांड का आउटपुट होता है जो 20 छात्र उपयोगकर्ता नाम बनाता है, और दूसरे में एक पाइपलाइन का आउटपुट होता है जो लंबाई 13 के 20 यादृच्छिक तार बनाता है।

यदि आपके पास पहले से उत्पन्न उपयोगकर्ता नाम वाली फ़ाइल है:

#!/bin/bash

n=$(wc -l <usernames.txt)

paste -d : usernames.txt \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

ये secret.txtटर्मिनल में उत्पन्न पासवर्ड दिखाने के बजाय पासवर्ड और उपयोगकर्ता नाम फ़ाइल में सहेजेंगे ।

echo शेल में निर्मित होने की संभावना है, इसलिए यह अंदर नहीं जाएगा ps एक अलग प्रक्रिया के रूप ।

लेकिन आपको कमांड प्रतिस्थापन का उपयोग करने की आवश्यकता नहीं है, आप सीधे पाइप लाइन से उत्पादन कर सकते हैं chpasswd:

{  printf "%s:" "$username";
   head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo ''
} | chpasswd 

यदि आप एक रन के साथ कई पासवर्ड बदलना चाहते हैं chpasswd, तो आवश्यक भागों को दोहराया जाना आसान होना चाहिए। या इसे एक समारोह में बनाएँ:

genpws() {
    for user in "$@"; do
        printf "%s:" "$user";
        head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13
        echo
    done
}
genpws username1 username2... | chpasswd 

एक तरफ के रूप में: यह head /dev/urandomथोड़ा अजीब लगता है क्योंकि urandomलाइन-उन्मुख नहीं है। यह इससे अत्यधिक मात्रा में बाइट्स को पढ़ सकता है, जो उपलब्ध एंट्रोपी की कर्नेल की धारणा को प्रभावित करेगा, जिससे आगे /dev/randomअवरुद्ध हो सकता है । यह केवल डेटा की एक निश्चित मात्रा को पढ़ने के लिए क्लीनर हो सकता है, और base64यादृच्छिक बाइट्स को प्रिंट करने योग्य वर्णों में परिवर्तित करने के लिए कुछ का उपयोग करने के लिए (केवल आपके द्वारा प्राप्त बाइट्स के लगभग 3/4 को दूर करने के बजाय)।

कुछ इस तरह से आपको लगभग मिलेगा। 16 वर्ण और संख्या:

head -c 12 /dev/urandom | base64 | tr -dc A-Za-z0-9 

(यह है कि, के उत्पादन में वर्णों की मात्रा कम से कम 16 है +और या तो प्रति वर्ण का 1/32 है, इसलिए यदि मुझे मेरा संयोजन सही मिले, तो कम से कम 14 वर्णों को छोड़ने का 99% मौका मिलता है, और कम से कम 12. छोड़ने का 99.99% मौका)/base64