Чи безпечно використовувати ехо для передачі чутливих даних у chpasswd?

Я намагаюся масово встановити кілька паролів облікового запису користувача, використовуючи chpasswd. Паролі повинні бути згенеровані випадковим чином і надруковані stdout(мені потрібно записати їх або помістити в сховище паролів), а також передавати в chpasswd.

Наївно, я би робив це так

{
  echo student1:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
  echo student2:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
} | tee >(chpasswd)

Однак я переживаю за те, щоб передати новий пароль як аргумент командного рядка echo, оскільки аргументи зазвичай видно іншим користувачам у ps -aux(хоча я ніколи не бачив, щоб жодна echoрядок відображалась у ps).

Чи є альтернативний спосіб попередньо задати значення моєму поверненому паролю та передати його в chpasswd?

Ваш код повинен бути безпечним, оскільки echoвін не відображатиметься в таблиці процесів, оскільки це вбудована оболонка.

Ось альтернативне рішення:

#!/bin/bash

n=20
paste -d : <( seq -f 'student%.0f' 1 "$n" ) \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Це створює nз них імена та паролі учнів , не передаючи паролі в жодному командному рядку будь-якої команди.

У pasteпідсобному склеює кілька файлів в вигляді стовпців і вставляє роздільник в проміжку між ними. Тут ми використовуємо :як роздільник і надаємо йому два "файли" (підстановки процесу). Перший містить вихід seqкоманди, яка створює 20 імен користувачів учнів, а другий містить вихід конвеєра, який створює 20 випадкових рядків довжиною 13.

Якщо у вас є файл із вже створеними іменами користувачів:

#!/bin/bash

n=$(wc -l <usernames.txt)

paste -d : usernames.txt \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Вони дозволять зберегти паролі та імена користувачів у файл, secret.txtа не відображати згенеровані паролі в терміналі.

echoдуже ймовірно, вбудований в оболонку, тому він не відображатиметься psяк окремий процес.

Але вам не потрібно використовувати підстановку команд, ви можете просто отримати вихід з конвеєра безпосередньо на chpasswd:

{  printf "%s:" "$username";
   head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo ''
} | chpasswd 

Якщо ви хочете змінити декілька паролів за один запуск chpasswd, важливі частини повинні бути легко повторені. Або перетворіть його у функцію:

genpws() {
    for user in "$@"; do
        printf "%s:" "$user";
        head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13
        echo
    done
}
genpws username1 username2... | chpasswd 

Як осторонь: це head /dev/urandomздається дивним, оскільки urandomне орієнтоване на лінію. Він може прочитати надмірну кількість байт з нього, що вплине на уявлення ядра про доступну ентропію, що, в свою чергу, може призвести до /dev/randomблокування. Можливо, буде чистіше просто читати фіксовану кількість даних і використовувати щось на кшталт base64перетворення випадкових байтів у друковані символи (замість того, щоб просто відкинути приблизно 3/4 байтів, які ви отримаєте).

Щось подібне дало б вам бл. 16 символів і цифр:

head -c 12 /dev/urandom | base64 | tr -dc A-Za-z0-9 

(тобто на 16 менше кількості +та /символів на виході base64. Шанс того чи іншого становить 1/32 на символ, тож якщо я отримаю право на свою комбінаторику, це дає приблизно 99% шансу залишити принаймні 14 символів, і 99,99% шанс виїхати принаймні 12.)