🐧 Как безопасно использовать команду read на Linux |

🐧 Как безопасно использовать команду read на Linux

Скрипты

Не стоит вводить пароли непосредственно в шелл скрипт.

Всякий раз, когда мы указываем пароль на Linux, он должен быть либо невидимым, либо звездочки (*) должны маскировать наш пароль так, чтобы он стал нечитаемым.

В этой теме мы рассмотрим различные техники чтения паролей с помощью Bash.

Как читать пароли на Bash?

Bash имеет встроенную утилиту для чтения ввода от пользователя, которая называется read.

 Проверка, содержит ли переменная число на Bash

Мы можем использовать эту утилиту напрямую, используя определенные флаги, которые в ней присутствуют.

С помощью этой команды мы также можем написать скрипт, который будет принимать ввод побуквенно и преобразовывать эти буквы в * на лету.

У нас также есть широко используемая команда для шифрования и расшифровки паролей, что обеспечивает их дополнительную защиту.

Чтение без отображения вводимых символов

Когда запрашивается пароль, bash может сделать так, чтобы вводимые символы не отображались на терминале.

#!/bin/bash
read -p "Enter name " name
echo "Hi, $name"
read -sp "Enter password " pass
echo
echo "$name has provided the password $pass"
echo
Скрипт принимает от пользователя имя пользователя и пароль.
Пароль не видно, и все, что вводится пользователем в качестве пароля, не отображается.
Он хранится в переменной, и эта переменная выводится на терминал.
Мы убеждаемся, что пользовательский ввод не виден.
Для этого мы используем флаг -s, доступный в команде read, чтобы заглушить эхо от пользовательского ввода.
Это позволяет работать с командой read безопасным образом.
В результате bash не отображает то, что вводит пользователь.
Этот ввод хранится в переменной, переданной с командой read, и может быть обработан в соответствии с требованиями.

Чтение со звездочками

Когда запрашивается пароль, мы часто видим, что пароли заменяются звездочками (*).
Прямого способа сделать это в Bash не существует.
Однако мы можем сделать то же самое, написав скрипт.
#!/bin/bash
pass=""
pass_var="Your password :"      # to take password character wise
while IFS= read -p "$pass_var" -r -s -n 1 letter
do
    if [[ $letter == $'\0' ]]       #  if enter is pressed, exit the loop
    then
        break
    fi
    
    pass=pass+"$letter"      # store the letter in pass
    pass_var="*"            # in place of password the asterisk (*) will be printed
done
Мы просим пользователя ввести пароль.
В цикле while мы используем IFS (Internal Field Separator) для разделения символов.
Команда read с флагом -r прочитает пароль.
Флаг -s гарантирует, что пароль будет прочитан безопасно.
Для отображения введенного пароля посимвольно мы ввели флаг -p с командой read.
Опция -n не выводит завершающую новую строку.
Скрипт запрашивает пароль и считывает его символ за символом до тех пор, пока пользователь не нажмет кнопку Enter.
Для каждого символа, который вводится из запроса, скрипт заменяет его на звездочку (*).

Чтение из файла

Существует множество случаев, когда у пользователь есть пароль или ключ, находящийся в файле.

Давайте сначала разберемся, как создать файл паролей.

Рекомендуется всегда держать файл паролей скрытым.

В Linux это можно сделать, создав файл, начинающийся с точки(.), например .passwd.txt.

Мы создадим этот файл, открыв ваш любимый редактор, введя пароль и сохранив его.

Чтобы защитить его еще больше, измените права на файл, чтобы никто другой не мог получить к нему доступ.

Для этого мы воспользуемся инструментом chmod.

Мы можем проверить права доступа к этому файлу с помощью команды ls -al.

Вот как мы это сделаем:

echo “password123” > .passwd.txt # Запись содержимого в файл
chmod 600 .passwd.txt # Предоставление соответствующих прав
ls -al .passwd.txt # проверка прав
#!/bin/bash
passFile=".passwd.txt"
pass=`cat $passFile`
echo Password read from the $passFile is $pass
Скрипт считывает пароль из файла passwd.txt с помощью команды cat.
Он сохранит пароль в переменной pass.
Как только пароль будет присвоен переменной, мы сможем выполнить любую дальнейшую обработку в соответствии с потребностями.

Безопасное чтение на Bash

Всегда рекомендуется шифровать пароли в скриптах на Linux bash.

Хранение паролей в виде обычного текста подвергает конфиденциальные данные серьезному риску.

Шифрование пароля для чтения

Если мы храним пароль в виде открытого, читаемого текста, любой человек, имеющий доступ к нашей системе, может его прочитать.

Следовательно, шифрование паролей всегда является хорошей практикой.

Существует инструмент командной строки под названием openssl, предоставляющий нам функции криптографии библиотеки OpenSSL.

#!/bin/bash
read -sp "Enter your password: " pass
encryptedPass=`echo $pass | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'An0terS3cr3t'`
echo
echo "Encrypted password is " $encryptedPass
Вводимый пароль шифруется с помощью инструмента openssl.
Вместе с ним передается множество параметров.
Давайте разберемся в назначении каждого из них.
Параметр Используется для
enc -aes-256-cbc Он представляет собой тип шифрования. Мы используем 256 блоков Advanced Encryption Standard с Cipher Block Chaining (CBC).
md sha512 Он представляет собой тип дайджеста сообщения. В нашем случае мы используем криптографический алгоритм SHA512
a Он представляет кодирование и декодирование в формате base64. Он выполняет операцию кодирования после шифрования и декодирования перед расшифровкой.
pbkdf2 Она представляет собой функцию деривации ключа на основе пароля 2 (PBKDF2), которая гарантирует, что атаки методом перебора будут более сложными.
iter Он представляет собой количество вычислений, которые будут использоваться PBKDF2. В нашем случае мы рассмотрели 1000
salt Он представляет собой случайные данные, что гарантирует, что зашифрованные данные будут отличаться каждый раз, даже для одного и того же пароля.
pass Он представляет собой пароль или ключ, который будет использоваться для шифрования данных. Мы приняли его за ‘An0terS3cr3t’.

Мы ввели в скрипт пароль ABCdef1@ и сохранили его в переменной.

Мы выполняем echo пароля и передаем вывод в качестве входа команде openssl.

Затем openssl, используя указанные параметры, шифрует его.

Расшифровка зашифрованного пароля

Так же, как мы пытались зашифровать пароль, мы можем расшифровать его.

Мы снова будем использовать команду openssl аналогичным образом.

#!/bin/bash
read -sp "Enter your password: " pass
encryptedPass=`echo $pass | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'An0terS3cr3t'`
echo
echo "Encrypted password is " $encryptedPass
decryptedPass=`echo $encryptedPass | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'An0terS3cr3t' -d`
echo
echo "Decrypted password is " $decryptedPass
Расшифровка пароля с помощью openssl происходит точно так же, как и шифрование.
Данные, взятые на вход, передаются команде open ssl вместе с параметрами.
Результат этой операции присваивается переменной, в которой хранятся расшифрованные данные.

Заключение

  • Пароли в виде простого текста представляют собой довольно серьезный и основной недостаток безопасности.
  • Команда read может быть использована для чтения паролей с помощью ее флагов.
  • Мы узнали, как создавать и читать скрытые файлы паролей.
  • Утилита openssl является широко используемым инструментом для шифрования и дешифрования.
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий