Безпечний спосіб передачі пароля для> 1 програми в bash

Я пишу bashсценарій, і мені потрібно запитати у користувача його пароль і передати його openssl. Хоча я opensslможу прочитати сам пароль, мені потрібно два запуски програми, і я не хочу двічі запитувати користувача. Ось сценарій:

cp file{,.old}
read -sp 'Enter password. ' PASS; echo
export PASS

# decode | edit | encode
openssl enc -d -aes-256-cbc -k "$PASS" -in file.old | \
  sed ... | openssl enc -e -aes-256-cbc -k "$PASS" -out file

unset PASS

Це не безпечно, оскільки пароль легко доступний, переглядаючи командний рядок; хтось може прочитати це ps, наприклад.

opensslможе прочитати пароль з змінної оточення, так що я можу замінити -k "$PASS"з -pass env:PASS, але це по - , як і раніше небезпечно; змінні середовища будь-якого процесу можна читати вільно (знову ж, psможна це зробити).

Отже, як я можу безпечно передати пароль двом opensslекземплярам?

Передайте пароль на окремий дескриптор файлу із вхідних даних (двічі, один раз для шифрування та один раз для розшифровки). Не експортуйте PASSв навколишнє середовище.

read -sp 'Enter password. ' PASS
printf '%s\n' "$PASS" |
openssl enc -d -aes-256-cbc -kfile /dev/stdin -in file.old |
sed ... | {
  printf '%s\n' "$PASS" |
  openssl enc -e -aes-256-cbc -kfile /dev/stdin -in /dev/fd/3 -out file;
} 3<&0

Якщо у вашій системі немає /dev/fd, ви можете використовувати -passаргумент, щоб сказати opensslчитати парольну фразу з відкритого дескриптора файлу.

printf '%s\n' "$PASS" | {
  printf '%s\n' "$PASS" |
  openssl enc -d -aes-256-cbc -pass fd:0 -in file.old |
  tr a-z A-Z | tee /dev/tty | {
  openssl enc -e -aes-256-cbc -pass fd:3 -out file; }
} 3<&0

Використання Bash можна зробити без використання printf '%s\n' "$PASS", пов'язуючи так звану тут рядок з дескрипторами файлів за допомогою команди Bash вбудована exec.

Для отримання додаткової інформації див: Захист пароля скрипту параметрів командного рядка .

(

# sample code to edit password-protected file with openssl
# user should have to enter password only once
# password should not become visible using the ps command

echo hello > tmp.file

#env -i bash --norc   # clean up environment
set +o history
unset PASS || exit 1

read -sp 'Enter password. ' PASS; echo

# encrypt file and protect it by given password
exec 3<<<"$PASS"
openssl enc -e -aes-256-cbc -pass fd:3  -in tmp.file -out file

cp file{,.old}

# decode | edit | encode
exec 3<<<"$PASS" 4<<<"$PASS"
openssl enc -d -aes-256-cbc -pass fd:3 -in file.old | 
   sed 's/l/L/g' | 
   openssl enc -e -aes-256-cbc -pass fd:4 -out file

exec 3<<<"$PASS"
openssl enc -d -aes-256-cbc -pass fd:3 -in file

rm -P tmp.file file.old
unset PASS

)

Вибачте, моя попередня відповідь була від чоловіка openssl, а не документів openssl enc.

Це рішення не є конвеєрним, але я вважаю, що це рішення запобігає видимості пароля для ps.

Використовуючи тут документ, тільки openssl бачить текст пароля.
Поки ви впевнені в усуненні проміжного файлу, не залишається жодного сліду. Можливо, хтось може допомогти зробити це в конвеєрі та усунути проміжний файл?

# cp file{,.old}  don't need this anymore since intermediate becomes same
read -sp 'Enter password. ' PASS; echo
#no need to export, env's are readable, as mentioned

# decode into intermediate file
openssl <<HERE 2>&1 >/dev/null
enc -d -aes-256-cbc -k "$PASS" -in file -out intermediate
HERE

# edit intermediate

# encode intermediate back into file
openssl <<HERE 2>&1 >/dev/null
enc -e -aes-256-cbc -k "$PASS" -in intermediate -out file 
HERE
unset PASS
rm -f intermediate