Herhangi bir komut için bir komut istemi kullanarak hassas verileri bash içerisinde aktarmanın bir yolu var mı?

sha1passKomut satırında bazı hassas şifrelerden oluşan bir karma oluşturmak için kullandığımı varsayalım . sha1pass mysecretBir karma üretmek için kullanabilirim , mysecretancak bu mysecretşimdi bash tarihinde olan bir dezavantaja sahiptir . Bu komutun son hedefini, mysecretdüz stilde açıklamaktan passwdkaçının , belki de bir stil sorgusu kullanarak ulaşmanın bir yolu var mı ?

Ayrıca, hassas verileri herhangi bir komuta aktarmak için bunu genel bir yöntemle de ilgileniyorum. Hassas veriler argüman olarak (in gibi sha1pass) veya STDIN'de bazı komutlara iletildiğinde yöntem değişecektir .

Bunu başarmanın bir yolu var mı?

Düzenleme : Bu soru çok dikkat çekti ve aşağıda sunulan birkaç iyi cevap var. Bir özet:

• Gereğince Kusalananda cevabı @ ideal bir bir yardımcı program için bir komut satırı bağımsız değişken olarak bir şifre veya gizli vermek zorunda asla. Bu, onun tarafından tanımlandığı gibi birçok yönden savunmasızdır ve kişi STDIN'e gizli girdi alabilen daha iyi tasarlanmış bir yardımcı program kullanmalıdır.
• @ vfbsilva'nın cevabı , işlerin bash tarihinde saklanmasını nasıl önleyeceğini açıklıyor
• @ Jonathan'ın cevabı , program STDIN'deki gizli verilerini alabildiği sürece bunu başarmak için mükemmel bir yöntemdir. Bu nedenle, bu cevabı kabul etmeye karar verdim. sha1passOP'mde sadece bir örnek vardı, ancak tartışma STDIN hakkında veri alan daha iyi araçların var olduğunu ortaya koydu.
• olarak @R .. notlar onun cevabı , bir değişken üzerinde komut genişleme kullanılmasıdır değil güvenli.

Bu yüzden, özet olarak, Jonathan'ın cevabını kabul ettim çünkü çalışmak için iyi tasarlanmış ve iyi niyetli bir programa sahip olduğunuza göre en iyi çözüm bu. Bir parola veya sırrı komut satırı argümanı olarak iletmek temelde güvensiz olsa da, diğer cevaplar basit güvenlik kaygılarını azaltmanın yollarını sunar.

Ya zshda bashshell kullanıyorsanız read, uçbirim aygıtından bir çizgi okumak için dışkıya kabuk eklemek için -s seçeneğini kullanın .

IFS= read -rs VARIABLE < /dev/tty

Ardından değişkeni stdin olarak kullanmak için bazı süslü yönlendirmeler kullanabilirsiniz.

sha1pass <<<"$VARIABLE"

Eğer biri pskoşarsa, tek görecekleri "sha1pass" olur.

sha1passHerhangi bir argüman verilmediğinde şifreyi stdin'den (bir satırda, satır sınırlayıcıyı yok sayarak) okuduğunu varsayar .

İdeal olarak, komut satırında hiçbir zaman bir komutun argümanı olarak bir açık metin parolası yazmazsınız. Bunu yapmak parolayı komuta bir argüman haline getirir ve komut tablosundaki argümanlar işlem tablosunda psbazı denetim günlüklerinde olduğu gibi veya basit girişler kullanılarak görülebilir .

Bunu söyledikten sonra, gerçek parolayı kabuğun komut geçmişinden gizlemenin kesin yolları vardır.

sha1pass "$( head -n 1 )"

Ardından şifreyi yazın ve tuşuna basın Enter. headBurada kullanılan komut tam olarak bir giriş hattı ve geçirilir verilerin parçası olmayacaktır yazın bu son yeni satır kabul sha1pass.

Karakterlerin yankılanmasını önlemek için:

sha1pass "$( stty -echo; head -n 1; stty echo )"

stty -echoTerminalde yazılan karakterlerin yankılanan kapalı komut dönüşler. Eko daha sonra ile geri yüklenir stty echo.

Standart girdiyi iletmek için, bu son komut değiştirilebilir ( sha1passstandart girdiyle ilgili veri kabul edilirse bunu yapardınız , ancak bu özel yardımcı program standart girdisini görmezden geliyormuş gibi görünür):

{ stty -echo; head -n 1; stty echo; } | somecommand

Çok satırlı giriş gerekiyorsa (yukarıdaki satır sonunda yeni satır karakteri olmayan tek bir satırın geçilmesi gerektiğini varsayar), ardından tüm headkomutu değiştirin catve ( somecommandile dosya sonuna kadar okuduğunu varsayarak) girişini sonlandırın Ctrl+D( aşağıdaki Returnyeni satır girişinde karakteri ya) değilse iki kez dahil etmek istiyorum.

Bu, hangi kabuğu kullandığınızdan bağımsız olarak işe yarar (Bourne benzeri veya rc benzeri bir kabuk olduğu sürece).

Komuttan önce boşluk varsa, girilen komutları geçmiş dosyalarına kaydetmemek için bazı kabuklar yapılabilir. Bu genellikle HISTCONTROLdeğere ayarlamak zorunda kalır ignorespace. Bu en azından tarafından desteklenmektedir bashve kshOpenBSD'deki değil örneğin tarafından ksh93veya dash. zshKullanıcılar yoksayılacak bir desen tanımlamak için histignorespaceseçeneği veya HISTORY_IGNOREdeğişkenlerini kullanabilir.

readTerminale karakterleri yankısız olarak okumayı destekleyen kabuklarda , ayrıca

IFS= read -rs password     # -s turns off echoing in bash or zsh
                           # -r for reading backslashes as-is,
                           # IFS= to preserve leading and trailing blanks
sha1pass "$password"

ancak bu açıkça, işlem tablosundaki parolayı potansiyel olarak açığa çıkarmayla aynı sorunu yaşıyor.

Yardımcı program standart girdiden okursa ve kabuk "here-string" destekliyorsa, yukarıdakiler değiştirilebilir.

IFS= read -rs password
somecommand <<<"$password"

Aşağıdaki yorumların özeti:

• Verileri komuta gönderenlerin dışında, yukarıdaki komutların hepsinin yaptığı komut satırında verilen bir parola ile bir komut çalıştırmak ps, aynı anda çalışan herkes için parolayı potansiyel olarak gösterebilir . Ancak yukarıdaki komutların hiçbiri, eğer etkileşimli bir kabuktan çalıştırılmamışsa, girilen şifreyi kabuğun geçmiş dosyasına kaydetmez.

• Düzgün metin şifreleri okuyan iyi kalpli programlar bunu standart girdilerinden, bir dosyadan veya doğrudan terminalden okuyarak yaparlar.

• sha1pass komut satırında ya doğrudan girilmiş ya da bazı komut değiştirme biçimleri kullanılarak şifreyi gerektirir.

• Mümkünse, başka bir araç kullanın.

Eğer böyle ayarlarsan HISTCONTROL:

HISTCONTROL=ignorespace

ve komutu bir boşlukla başlatın:

~$  mycommand

tarihte depolanmayacak.

Hassas verileri bir boru veya here-doc yoluyla iletin

command_with_secret_output | command_with_secret_input

veya:

command_with_secret_input <<EOF
$secret
EOF

Sırların (dışa aktarılmayan) kabuk değişkenlerinde olması iyidir, ancak bu değişkenleri komut satırlarında yalnızca burada-belgelerde ve kabuk içindekilerde kullanamazsınız.

Kusalananda'nın bir yorumda belirtildiği gibi, etkileşimli bir kabuğa komutlar giriyorsanız, burada bir belge için girdiğiniz satırlar kabuk geçmişinde depolanacaktır, bu nedenle oraya bir parola yazmak güvenli değildir, ancak yine de sır içeren kabuk değişkenlerini kullanmak güvenli; tarih, $secretneye $secretgenişletilmişse metni içerecektir .

Komut genişletmelerinin kullanımı güvenli değil :

command_with_secret_input "$(command_with_secret_output)"

çünkü çıktı komut satırına dahil edilecek ve pssertleştirilmiş / proc'lu sistemler hariç çıktıda (veya manuel olarak / proc'den okunacak şekilde) görünecektir .

Bir değişkene atama da tamamdır:

secret=$(command_with_secret_output)

Sadece değeri bir dosyaya yazın ve dosyayı iletin:

$ cat > mysecret
Big seecreeeet!
$ cat mysecret | sha1pass 

Nasıl sha1passçalıştığını bilmiyorum, eğer bir dosyayı girdi olarak alabilirse kullanabilirsiniz sha1pass < mysecret. Aksi takdirde, catson yeni satırı içerdiğinden kullanım bir sorun olabilir. Bu durumda, kullanın ( headdestekliyorsanız -c):

head -c-1 mysecret | sha1pass 

Terdonun yaptığı mümkün ise, standart girdiden geçerek en iyi çözüm budur. Geriye kalan tek sorun, şifreyi diske yazması. Bunun yerine bunu yapabiliriz:

stty -echo
echo -n "password: "
head -1 | sha1pass
stty echo

Kusalananda'nın dediği gibi, tekrar stty -echoyazana kadar yazdıklarınızın görülmemesini sağlar stty echo. head -1standart girişten bir satır alır ve iletir sha1pass.

Kullanmak istiyorum

sha1pass "$(cat)"

catsttr'den EOFCtrl + D ye basmakla sonuçlanabilecek olana kadar okunacaktı . Ardından, sonuç argüman olarak iletilir.sha1pass