จะปลอดภัยหรือไม่ที่จะใช้ echo เพื่อส่งผ่านข้อมูลที่ละเอียดอ่อนไปยัง chpasswd?

ฉันพยายามที่จะตั้งค่ารหัสผ่านบัญชีผู้ใช้จำนวนchpasswdไม่มากโดยใช้ รหัสผ่านควรมีการสร้างแบบสุ่มและพิมพ์stdout(ฉันต้องเขียนพวกเขาลงหรือใส่ไว้ในการจัดเก็บรหัสผ่าน) chpasswdและยังผ่านเข้าสู่

อย่างไร้เดียงสาฉันจะทำเช่นนี้

{
  echo student1:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
  echo student2:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
} | tee >(chpasswd)

อย่างไรก็ตามฉันกังวลเกี่ยวกับการส่งรหัสผ่านใหม่เป็นอาร์กิวเมนต์บรรทัดคำสั่งไปที่echoเนื่องจากผู้ใช้รายอื่นมักมองเห็นข้อโต้แย้งในps -aux(แม้ว่าฉันจะไม่เคยเห็นechoบรรทัดใด ๆปรากฏps)

มีวิธีอื่นในการเพิ่มมูลค่าให้กับรหัสผ่านที่ส่งคืนของฉันแล้วส่งผ่านเข้าไปยังchpasswd?

รหัสของคุณควรจะปลอดภัยเนื่องจากechoจะไม่แสดงในตารางกระบวนการเนื่องจากเป็นเชลล์ในตัว

นี่คือทางเลือกอื่น:

#!/bin/bash

n=20
paste -d : <( seq -f 'student%.0f' 1 "$n" ) \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

สิ่งนี้จะสร้างชื่อนักเรียนและรหัสผ่านnของคุณโดยไม่ต้องผ่านรหัสผ่านใด ๆ ในบรรทัดคำสั่งของคำสั่งใด ๆ

pasteยูทิลิตี้กาวกันหลายไฟล์เป็นคอลัมน์และแทรกตัวคั่นในระหว่างพวกเขา ที่นี่เราใช้:เป็นตัวคั่นและให้สอง "ไฟล์" (การทดแทนกระบวนการ) อันแรกประกอบด้วยเอาต์พุตของseqคำสั่งที่สร้างชื่อผู้ใช้ 20 คนและอันที่สองประกอบด้วยเอาต์พุตของไพพ์ไลน์ที่สร้างสตริงสุ่มยาว 20 สตริงที่มีความยาว 13

หากคุณมีไฟล์ชื่อผู้ใช้ที่สร้างขึ้นแล้ว:

#!/bin/bash

n=$(wc -l <usernames.txt)

paste -d : usernames.txt \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

สิ่งเหล่านี้จะบันทึกรหัสผ่านและชื่อผู้ใช้ลงในไฟล์secret.txtแทนที่จะแสดงรหัสผ่านที่สร้างขึ้นในเทอร์มินัล

echoมีแนวโน้มที่จะสร้างขึ้นในเชลล์ดังนั้นมันจะไม่ปรากฏpsเป็นกระบวนการแยกต่างหาก

แต่คุณไม่จำเป็นต้องใช้การทดแทนคำสั่งคุณสามารถรับเอาต์พุตจากไพพ์ไลน์โดยตรงไปที่chpasswd:

{  printf "%s:" "$username";
   head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo ''
} | chpasswd 

หากคุณต้องการเปลี่ยนรหัสผ่านหลายรหัสด้วยการเรียกใช้ครั้งเดียวchpasswdคุณควรทำซ้ำส่วนสำคัญ ๆ ได้อย่างง่ายดาย หรือทำให้เป็นฟังก์ชัน:

genpws() {
    for user in "$@"; do
        printf "%s:" "$user";
        head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13
        echo
    done
}
genpws username1 username2... | chpasswd 

ในฐานะที่เป็นกัน: ที่head /dev/urandomรู้สึกแปลกเล็กน้อยเนื่องจากurandomไม่ได้มุ่งเน้นเส้น มันอาจอ่านจำนวนไบต์ที่มากเกินไปซึ่งจะส่งผลกระทบต่อแนวคิดเกี่ยวกับเอนโทรปีของเคอร์เนลซึ่งอาจนำไปสู่การ/dev/randomบล็อก มันอาจจะสะอาดกว่าถ้าคุณอ่านข้อมูลจำนวนคงที่และใช้บางอย่างเช่นbase64การแปลงไบต์แบบสุ่มเป็นตัวอักษรที่พิมพ์ได้ (แทนที่จะทิ้งไปประมาณ 3/4 ของไบต์ที่คุณได้รับ)

บางอย่างเช่นนี้จะทำให้คุณประมาณ 16 ตัวอักษรและตัวเลข:

head -c 12 /dev/urandom | base64 | tr -dc A-Za-z0-9 

(นั่นคือจำนวนที่น้อยลงของตัวละคร+และ/ตัวละครในผลลัพธ์ของbase64โอกาสที่จะเป็น 1/32 ต่อตัวละครดังนั้นถ้าฉันได้ combinatorics ของฉันถูกต้องที่ให้โอกาส 99% ของการออกอย่างน้อย 14 ตัวและ โอกาส 99.99% ที่เหลืออย่างน้อย 12)