Cách an toàn để truyền mật khẩu cho> 1 chương trình trong bash

Tôi đang viết một bashkịch bản và cần hỏi người dùng mật khẩu của mình và chuyển nó đến openssl. Mặc dù opensslcó thể tự đọc mật khẩu, tôi cần hai lần chạy chương trình và không muốn hỏi người dùng hai lần. Đây là kịch bản:

cp file{,.old}
read -sp 'Enter password. ' PASS; echo
export PASS

# decode | edit | encode
openssl enc -d -aes-256-cbc -k "$PASS" -in file.old | \
  sed ... | openssl enc -e -aes-256-cbc -k "$PASS" -out file

unset PASS

Điều này không an toàn vì mật khẩu có sẵn dễ dàng bằng cách nhìn vào dòng lệnh; ai đó có thể đọc nó bằng cách sử dụng ps, ví dụ.

opensslcó thể đọc mật khẩu từ một biến môi trường, vì vậy tôi có thể thay thế -k "$PASS"bằng -pass env:PASS, nhưng nó vẫn không an toàn; các biến môi trường của bất kỳ quá trình có thể được đọc tự do (một lần nữa, pscó thể làm điều đó).

Vì vậy, làm thế nào tôi có thể chuyển mật khẩu một cách an toàn cho hai openssltrường hợp?

Truyền mật khẩu trên một bộ mô tả tệp riêng biệt từ đầu vào (hai lần, một lần để mã hóa và một lần để giải mã). Không xuất khẩu PASSra môi trường.

read -sp 'Enter password. ' PASS
printf '%s\n' "$PASS" |
openssl enc -d -aes-256-cbc -kfile /dev/stdin -in file.old |
sed ... | {
  printf '%s\n' "$PASS" |
  openssl enc -e -aes-256-cbc -kfile /dev/stdin -in /dev/fd/3 -out file;
} 3<&0

Nếu hệ thống của bạn không có /dev/fd, bạn có thể sử dụng -passđối số để nói opensslđể đọc cụm mật khẩu từ một mô tả tệp mở.

printf '%s\n' "$PASS" | {
  printf '%s\n' "$PASS" |
  openssl enc -d -aes-256-cbc -pass fd:0 -in file.old |
  tr a-z A-Z | tee /dev/tty | {
  openssl enc -e -aes-256-cbc -pass fd:3 -out file; }
} 3<&0

Sử dụng Bash có thể được thực hiện mà không cần sử dụng bằng printf '%s\n' "$PASS"cách liên kết một chuỗi được gọi là ở đây với các bộ mô tả tệp bằng lệnh Bash dựng sẵn exec.

Để biết thêm thông tin, xem: Bảo mật mật khẩu tập lệnh Shell của các tham số dòng lệnh .

(

# sample code to edit password-protected file with openssl
# user should have to enter password only once
# password should not become visible using the ps command

echo hello > tmp.file

#env -i bash --norc   # clean up environment
set +o history
unset PASS || exit 1

read -sp 'Enter password. ' PASS; echo

# encrypt file and protect it by given password
exec 3<<<"$PASS"
openssl enc -e -aes-256-cbc -pass fd:3  -in tmp.file -out file

cp file{,.old}

# decode | edit | encode
exec 3<<<"$PASS" 4<<<"$PASS"
openssl enc -d -aes-256-cbc -pass fd:3 -in file.old | 
   sed 's/l/L/g' | 
   openssl enc -e -aes-256-cbc -pass fd:4 -out file

exec 3<<<"$PASS"
openssl enc -d -aes-256-cbc -pass fd:3 -in file

rm -P tmp.file file.old
unset PASS

)

Xin lỗi, câu trả lời trước đây của tôi là từ openssl man, không phải các tài liệu enc.

Giải pháp này không phải là một đường ống dẫn, nhưng tôi tin rằng giải pháp này ngăn mật khẩu hiển thị với ps.

Sử dụng một tài liệu ở đây, chỉ openssl nhìn thấy văn bản của mật khẩu.
Miễn là bạn chắc chắn loại bỏ tệp trung gian, không còn dấu vết. Có lẽ ai đó có thể giúp làm điều này trong một đường ống và loại bỏ các tập tin trung gian?

# cp file{,.old}  don't need this anymore since intermediate becomes same
read -sp 'Enter password. ' PASS; echo
#no need to export, env's are readable, as mentioned

# decode into intermediate file
openssl <<HERE 2>&1 >/dev/null
enc -d -aes-256-cbc -k "$PASS" -in file -out intermediate
HERE

# edit intermediate

# encode intermediate back into file
openssl <<HERE 2>&1 >/dev/null
enc -e -aes-256-cbc -k "$PASS" -in intermediate -out file 
HERE
unset PASS
rm -f intermediate