Bir kullanıcı için parola bash üzerinde bir programın stdin parçası olmak için en güvenli ve en basit yolu nedir?

Bir kullanıcı bir bash kabuk isteminde bir parola yazın ve bu parola bir programa stdin parçası olmak için (1) en güvenli ve (2) en basit yolu arıyorum.

Bu Stdin ihtiyaçları gibi görünmek için ne: {"username":"myname","password":"<my-password>"}nerede <my-password>neydi istemi kabuğu içine yazılan edilir. Eğer stdin programı üzerinde kontrol sahibi olsaydım, o zaman güvenli bir şifre istemek ve yerine koymak için değiştirebilirdim, ancak aşağı akış standart bir genel amaçlı komuttur.

Aşağıdakileri kullanan yaklaşımları düşündüm ve reddettim:

• şifreyi komut satırına yazan kullanıcı: şifre ekranda gösterilir ve "ps" ile tüm kullanıcılar tarafından görülebilir
• kabuk değişkeni harici bir programın argümanına enterpolasyonu (örn. ...$PASSWORD...): şifre hala "ps" ile tüm kullanıcılar tarafından görülebilir
• ortam değişkenleri (çevrede kalırlarsa): parola tüm alt işlemler tarafından görülebilir; güvenilir süreçler bile, bir tanılamanın parçası olarak çekirdek değişkenleri veya ortam değişkenlerini dökerse şifreyi ortaya çıkarabilir
• bir dosyada uzun süre oturan şifre, sıkı izinlere sahip bir dosya bile: kullanıcı yanlışlıkla şifreyi açığa çıkarabilir ve kök kullanıcı yanlışlıkla şifreyi görebilir

Mevcut çözümümü aşağıda bir cevap olarak koyacağım, ancak birisi bir cevap bulursa daha iyi bir cevap seçeceğim. Daha basit bir şey olması gerektiğini düşünüyorum, ya da belki birileri kaçırdığım bir güvenlik endişesi görür.

İle bashya zsh:

unset -v password # make sure it's not exported
set +o allexport  # make sure variables are not automatically exported
IFS= read -rs password < /dev/tty &&
  printf '{"username":"myname","password":"%s"}\n' "$password" | cmd

Olmadan IFS=, readyazdığınız paroladaki önde gelen ve sondaki boşlukları çıkarırdı.

Olmadan -r, ters eğik çizgileri tırnak işareti olarak işleyecekti.

Sadece terminalden okuduğunuzdan emin olmak istiyorsunuz.

echogüvenilir bir şekilde kullanılamaz. In bashve zsh, printfyerleşiktir, böylece komut satırının çıktısında gösterilmez ps.

İçinde bash, $passwordaksi takdirde split + glob operatörü uygulandığından alıntı yapmanız gerekir .

Bu dizeyi JSON olarak kodlamanız gerektiğinden, bu yine de yanlıştır. Örneğin, çift tırnak ve ters eğik çizgi en azından bir sorun olabilir. Muhtemelen bu karakterlerin kodlanması konusunda endişelenmeniz gerekir. Programınız UTF-8 dizeleri bekliyor mu? Terminaliniz ne gönderiyor?

Şunları içeren bir bilgi istemi dizesi eklemek için zsh:

IFS= read -rs 'password?Please enter a password: '

İle bash:

IFS= read -rsp 'Please enter a password: ' password

İşte sahip olduğum çözüm (test edildi):

$ read -s PASSWORD
<user types password>
$ echo -n $PASSWORD | perl -e '$_=<>; print "{\"username\":\"myname\",\"password\":\"$_\"}"'

Açıklama:

1. read -ssatırı ekrana yansıtmadan bir stdin (şifre) satırı okur. Depolar PASSWORD kabuk değişkenindedir.
2. echo -n $PASSWORDşifreyi yeni satır olmadan stdout'a koyar. (echo bir kabuk yerleşik komutudur, bu nedenle yeni bir işlem oluşturulmadığından (AFAIK) echo argümanı olarak şifre ps'de gösterilmez.)
3. perl çağrılır ve stdin'den $_
4. perl parolayı $_tam metne yerleştirir ve stdout'a yazdırır

Bu bir HTTPS POST'a gidecekse, ikinci satır şöyle olacaktır:

echo -n $PASSWORD | perl -e '$_=<>; print "{\"username\":\"myname\",\"password\":\"$_\"}"' | curl -H "Content-Type: application/json" -d@- -X POST <url-to-post-to>

Sürümünüz readdesteklenmiyorsa -s, bu yanıtta görülen POSIX uyumlu yolu deneyin .

echo -n "USERNAME: "; read uname
echo -n "PASSWORD: "; set +a; stty -echo; read passwd; command <<<"$passwd"; set -a; stty echo; echo
passwd= # get rid of passwd possibly only necessary if running outside of a script

set +aÇevre için bir değişkenin auto "ihracat" önlemek gerekiyordu. Man sayfalarını kontrol etmelisiniz stty, birçok seçenek var. <<<"$passwd"İyi şifreleri boşluk çünkü alıntılanmıştır. Geçen echoetkinleştirdikten sonra stty echoyeni bir satıra sonraki komut / çıkış başlangıç sahip olmaktır.