Не стоит вводить пароли непосредственно в шелл скрипт.
Всякий раз, когда мы указываем пароль на Linux, он должен быть либо невидимым, либо звездочки (*) должны маскировать наш пароль так, чтобы он стал нечитаемым.
В этой теме мы рассмотрим различные техники чтения паролей с помощью Bash.
Как читать пароли на Bash?
Bash имеет встроенную утилиту для чтения ввода от пользователя, которая называется read.
Проверка, содержит ли переменная число на Bash
Мы можем использовать эту утилиту напрямую, используя определенные флаги, которые в ней присутствуют.
С помощью этой команды мы также можем написать скрипт, который будет принимать ввод побуквенно и преобразовывать эти буквы в * на лету.
У нас также есть широко используемая команда для шифрования и расшифровки паролей, что обеспечивает их дополнительную защиту.
Чтение без отображения вводимых символов
Когда запрашивается пароль, bash может сделать так, чтобы вводимые символы не отображались на терминале.
#!/bin/bash
read -p "Enter name " name
echo "Hi, $name"
read -sp "Enter password " pass
echo
echo "$name has provided the password $pass"
echo
Скрипт принимает от пользователя имя пользователя и пароль.
Пароль не видно, и все, что вводится пользователем в качестве пароля, не отображается.
Он хранится в переменной, и эта переменная выводится на терминал.
Мы убеждаемся, что пользовательский ввод не виден.
Для этого мы используем флаг -s, доступный в команде read, чтобы заглушить эхо от пользовательского ввода.
Это позволяет работать с командой read безопасным образом.
В результате bash не отображает то, что вводит пользователь.
Этот ввод хранится в переменной, переданной с командой read, и может быть обработан в соответствии с требованиями.
Чтение со звездочками
Когда запрашивается пароль, мы часто видим, что пароли заменяются звездочками (*).
Прямого способа сделать это в Bash не существует.
Однако мы можем сделать то же самое, написав скрипт.
#!/bin/bash
pass=""
pass_var="Your password :"
while IFS= read -p "$pass_var" -r -s -n 1 letter
do
if [[ $letter == $' ' ]]
then
break
fi
pass=pass+"$letter"
pass_var="*"
done
Мы просим пользователя ввести пароль.
В цикле while мы используем IFS (Internal Field Separator) для разделения символов.
Команда read с флагом -r прочитает пароль.
Флаг -s гарантирует, что пароль будет прочитан безопасно.
Для отображения введенного пароля посимвольно мы ввели флаг -p с командой read.
Опция -n не выводит завершающую новую строку.
Скрипт запрашивает пароль и считывает его символ за символом до тех пор, пока пользователь не нажмет кнопку Enter.
Для каждого символа, который вводится из запроса, скрипт заменяет его на звездочку (*).
Чтение из файла
Существует множество случаев, когда у пользователь есть пароль или ключ, находящийся в файле.
Давайте сначала разберемся, как создать файл паролей.
Рекомендуется всегда держать файл паролей скрытым.
В Linux это можно сделать, создав файл, начинающийся с точки(.), например .passwd.txt.
Мы создадим этот файл, открыв ваш любимый редактор, введя пароль и сохранив его.
Чтобы защитить его еще больше, измените права на файл, чтобы никто другой не мог получить к нему доступ.
Для этого мы воспользуемся инструментом chmod.
Мы можем проверить права доступа к этому файлу с помощью команды ls -al.
Вот как мы это сделаем:
echo “password123” > .passwd.txt # Запись содержимого в файл
chmod 600 .passwd.txt # Предоставление соответствующих прав
ls -al .passwd.txt # проверка прав
#!/bin/bash
passFile=".passwd.txt"
pass=`cat $passFile`
echo Password read from the $passFile is $pass
Скрипт считывает пароль из файла passwd.txt с помощью команды cat.
Он сохранит пароль в переменной pass.
Как только пароль будет присвоен переменной, мы сможем выполнить любую дальнейшую обработку в соответствии с потребностями.
Безопасное чтение на Bash
Всегда рекомендуется шифровать пароли в скриптах на Linux bash.
Хранение паролей в виде обычного текста подвергает конфиденциальные данные серьезному риску.
Шифрование пароля для чтения
Если мы храним пароль в виде открытого, читаемого текста, любой человек, имеющий доступ к нашей системе, может его прочитать.
Следовательно, шифрование паролей всегда является хорошей практикой.
Существует инструмент командной строки под названием openssl, предоставляющий нам функции криптографии библиотеки OpenSSL.
#!/bin/bash
read -sp "Enter your password: " pass
encryptedPass=`echo $pass | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'An0terS3cr3t'`
echo
echo "Encrypted password is " $encryptedPass
Вводимый пароль шифруется с помощью инструмента openssl.
Вместе с ним передается множество параметров.
Давайте разберемся в назначении каждого из них.
| Параметр |
Используется для |
| enc -aes-256-cbc |
Он представляет собой тип шифрования. Мы используем 256 блоков Advanced Encryption Standard с Cipher Block Chaining (CBC). |
| md sha512 |
Он представляет собой тип дайджеста сообщения. В нашем случае мы используем криптографический алгоритм SHA512 |
| a |
Он представляет кодирование и декодирование в формате base64. Он выполняет операцию кодирования после шифрования и декодирования перед расшифровкой. |
| pbkdf2 |
Она представляет собой функцию деривации ключа на основе пароля 2 (PBKDF2), которая гарантирует, что атаки методом перебора будут более сложными. |
| iter |
Он представляет собой количество вычислений, которые будут использоваться PBKDF2. В нашем случае мы рассмотрели 1000 |
| salt |
Он представляет собой случайные данные, что гарантирует, что зашифрованные данные будут отличаться каждый раз, даже для одного и того же пароля. |
| pass |
Он представляет собой пароль или ключ, который будет использоваться для шифрования данных. Мы приняли его за ‘An0terS3cr3t’. |
Мы ввели в скрипт пароль ABCdef1@ и сохранили его в переменной.
Мы выполняем echo пароля и передаем вывод в качестве входа команде openssl.
Затем openssl, используя указанные параметры, шифрует его.
Расшифровка зашифрованного пароля
Так же, как мы пытались зашифровать пароль, мы можем расшифровать его.
Мы снова будем использовать команду openssl аналогичным образом.
#!/bin/bash
read -sp "Enter your password: " pass
encryptedPass=`echo $pass | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'An0terS3cr3t'`
echo
echo "Encrypted password is " $encryptedPass
decryptedPass=`echo $encryptedPass | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'An0terS3cr3t' -d`
echo
echo "Decrypted password is " $decryptedPass
Расшифровка пароля с помощью openssl происходит точно так же, как и шифрование.
Данные, взятые на вход, передаются команде open ssl вместе с параметрами.
Результат этой операции присваивается переменной, в которой хранятся расшифрованные данные.
Заключение
- Пароли в виде простого текста представляют собой довольно серьезный и основной недостаток безопасности.
- Команда read может быть использована для чтения паролей с помощью ее флагов.
- Мы узнали, как создавать и читать скрытые файлы паролей.
- Утилита openssl является широко используемым инструментом для шифрования и дешифрования.
2023-04-06T17:44:58
Скрипты
