Не стоит вводить пароли непосредственно в шелл скрипт.

Всякий раз, когда мы указываем пароль на Linux, он должен быть либо невидимым, либо звездочки (*) должны маскировать наш пароль так, чтобы он стал нечитаемым.

В этой теме мы рассмотрим различные техники чтения паролей с помощью Bash.

Как читать пароли на Bash?

Bash имеет встроенную утилиту для чтения ввода от пользователя, которая называется read.

 Проверка, содержит ли переменная число на Bash

Мы можем использовать эту утилиту напрямую, используя определенные флаги, которые в ней присутствуют.

С помощью этой команды мы также можем написать скрипт, который будет принимать ввод побуквенно и преобразовывать эти буквы в * на лету.

У нас также есть широко используемая команда для шифрования и расшифровки паролей, что обеспечивает их дополнительную защиту.

Чтение без отображения вводимых символов

Когда запрашивается пароль, bash может сделать так, чтобы вводимые символы не отображались на терминале.

Скрипт принимает от пользователя имя пользователя и пароль.

Пароль не видно, и все, что вводится пользователем в качестве пароля, не отображается.

Он хранится в переменной, и эта переменная выводится на терминал.

Мы убеждаемся, что пользовательский ввод не виден.

Для этого мы используем флаг -s, доступный в команде read, чтобы заглушить эхо от пользовательского ввода.

Это позволяет работать с командой read безопасным образом.

В результате bash не отображает то, что вводит пользователь.

Этот ввод хранится в переменной, переданной с командой read, и может быть обработан в соответствии с требованиями.

🕷️ Как улучшить и отладить bash/shell скрипты с помощью ShellCheck

Чтение со звездочками

Когда запрашивается пароль, мы часто видим, что пароли заменяются звездочками (*).

Прямого способа сделать это в Bash не существует.

Однако мы можем сделать то же самое, написав скрипт.

#!/bin/bash

pass=""

pass_var="Your password :"      # to take password character wise

while IFS= read -p "$pass_var" -r -s -n 1 letter

do

    if [[ $letter == $' ' ]]       #  if enter is pressed, exit the loop

    then

        break

    fi

    

    pass=pass+"$letter"      # store the letter in pass

    pass_var="*"            # in place of password the asterisk (*) will be printed

done

Мы просим пользователя ввести пароль.

В цикле while мы используем IFS (Internal Field Separator) для разделения символов.

Команда read с флагом -r прочитает пароль.

Флаг -s гарантирует, что пароль будет прочитан безопасно.

Для отображения введенного пароля посимвольно мы ввели флаг -p с командой read.

Опция -n не выводит завершающую новую строку.

Скрипт запрашивает пароль и считывает его символ за символом до тех пор, пока пользователь не нажмет кнопку Enter.

Для каждого символа, который вводится из запроса, скрипт заменяет его на звездочку (*).

Чтение из файла

Существует множество случаев, когда у пользователь есть пароль или ключ, находящийся в файле.

Давайте сначала разберемся, как создать файл паролей.

Рекомендуется всегда держать файл паролей скрытым.

В Linux это можно сделать, создав файл, начинающийся с точки(.), например .passwd.txt.

Мы создадим этот файл, открыв ваш любимый редактор, введя пароль и сохранив его.

Чтобы защитить его еще больше, измените права на файл, чтобы никто другой не мог получить к нему доступ.

Для этого мы воспользуемся инструментом chmod.

Мы можем проверить права доступа к этому файлу с помощью команды ls -al.

Вот как мы это сделаем:

echo “password123” > .passwd.txt # Запись содержимого в файл

chmod 600 .passwd.txt # Предоставление соответствующих прав

ls -al .passwd.txt # проверка прав

#!/bin/bash

passFile=".passwd.txt"

pass=`cat $passFile`

echo Password read from the $passFile is $pass

Скрипт считывает пароль из файла passwd.txt с помощью команды cat.

Он сохранит пароль в переменной pass.

Как только пароль будет присвоен переменной, мы сможем выполнить любую дальнейшую обработку в соответствии с потребностями.

Безопасное чтение на Bash

Всегда рекомендуется шифровать пароли в скриптах на Linux bash.

Хранение паролей в виде обычного текста подвергает конфиденциальные данные серьезному риску.

Шифрование пароля для чтения

Если мы храним пароль в виде открытого, читаемого текста, любой человек, имеющий доступ к нашей системе, может его прочитать.

Следовательно, шифрование паролей всегда является хорошей практикой.

Существует инструмент командной строки под названием openssl, предоставляющий нам функции криптографии библиотеки OpenSSL.

#!/bin/bash

read -sp "Enter your password: " pass

encryptedPass=`echo $pass | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'An0terS3cr3t'`

echo

echo "Encrypted password is " $encryptedPass

Вводимый пароль шифруется с помощью инструмента openssl.

Вместе с ним передается множество параметров.

Давайте разберемся в назначении каждого из них.

Параметр	Используется для
enc -aes-256-cbc	Он представляет собой тип шифрования. Мы используем 256 блоков Advanced Encryption Standard с Cipher Block Chaining (CBC).
md sha512	Он представляет собой тип дайджеста сообщения. В нашем случае мы используем криптографический алгоритм SHA512
a	Он представляет кодирование и декодирование в формате base64. Он выполняет операцию кодирования после шифрования и декодирования перед расшифровкой.
pbkdf2	Она представляет собой функцию деривации ключа на основе пароля 2 (PBKDF2), которая гарантирует, что атаки методом перебора будут более сложными.
iter	Он представляет собой количество вычислений, которые будут использоваться PBKDF2. В нашем случае мы рассмотрели 1000
salt	Он представляет собой случайные данные, что гарантирует, что зашифрованные данные будут отличаться каждый раз, даже для одного и того же пароля.
pass	Он представляет собой пароль или ключ, который будет использоваться для шифрования данных. Мы приняли его за ‘An0terS3cr3t’.

Мы ввели в скрипт пароль ABCdef1@ и сохранили его в переменной.

Мы выполняем echo пароля и передаем вывод в качестве входа команде openssl.

Затем openssl, используя указанные параметры, шифрует его.

Расшифровка зашифрованного пароля

Так же, как мы пытались зашифровать пароль, мы можем расшифровать его.

Мы снова будем использовать команду openssl аналогичным образом.

#!/bin/bash

read -sp "Enter your password: " pass

encryptedPass=`echo $pass | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'An0terS3cr3t'`

echo

echo "Encrypted password is " $encryptedPass

decryptedPass=`echo $encryptedPass | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'An0terS3cr3t' -d`

echo

echo "Decrypted password is " $decryptedPass

Расшифровка пароля с помощью openssl происходит точно так же, как и шифрование.

Данные, взятые на вход, передаются команде open ssl вместе с параметрами.

Результат этой операции присваивается переменной, в которой хранятся расшифрованные данные.

Заключение

• Пароли в виде простого текста представляют собой довольно серьезный и основной недостаток безопасности.
• Команда read может быть использована для чтения паролей с помощью ее флагов.
• Мы узнали, как создавать и читать скрытые файлы паролей.
• Утилита openssl является широко используемым инструментом для шифрования и дешифрования.

2023-04-06T17:44:58

Скрипты