Apakah ada cara untuk melewatkan data sensitif di bash menggunakan prompt, untuk perintah apa pun?

Misalkan saya menggunakan sha1passuntuk menghasilkan hash dari beberapa kata sandi sensitif pada baris perintah. Saya dapat menggunakan sha1pass mysecretuntuk menghasilkan hash mysecrettetapi ini memiliki kelemahan yang mysecretsekarang dalam sejarah bash. Apakah ada cara untuk mencapai tujuan akhir dari perintah ini sambil menghindari pengungkapan mysecretdalam teks biasa, mungkin dengan menggunakan passwdprompt-style?

Saya juga tertarik dengan cara umum untuk melakukan ini untuk meneruskan data sensitif ke perintah apa pun. Metode akan berubah ketika data sensitif dilewatkan sebagai argumen (seperti dalam sha1pass) atau pada STDIN ke beberapa perintah.

Apakah ada cara untuk menyelesaikan ini?

Sunting : Pertanyaan ini menarik banyak perhatian dan ada beberapa jawaban bagus yang ditawarkan di bawah ini. Ringkasan adalah:

• Sesuai jawaban Kusalananda , idealnya seseorang tidak perlu memberikan kata sandi atau rahasia sebagai argumen baris perintah ke utilitas. Ini rentan dalam beberapa cara seperti yang dijelaskan olehnya, dan seseorang harus menggunakan utilitas yang dirancang lebih baik yang mampu mengambil input rahasia pada STDIN
• Jawaban @ vfbsilva menjelaskan cara mencegah hal-hal agar tidak disimpan dalam bash history
• @Jawab Jonathan menjelaskan metode yang sangat baik untuk mencapai ini selama program dapat mengambil data rahasianya pada STDIN. Karena itu, saya telah memutuskan untuk menerima jawaban ini. sha1passdi OP saya hanya sebuah contoh, tetapi diskusi telah menetapkan bahwa ada alat yang lebih baik yang mengambil data pada STDIN.
• seperti @R .. mencatat dalam jawabannya , penggunaan ekspansi perintah pada variabel tidak aman.

Jadi, secara ringkas, saya telah menerima jawaban @ Jonathan karena ini adalah solusi terbaik mengingat Anda memiliki program yang dirancang dengan baik dan berperilaku baik. Meskipun melewatkan kata sandi atau rahasia sebagai argumen baris perintah pada dasarnya tidak aman, jawaban lain menyediakan cara untuk mengurangi masalah keamanan yang sederhana.

Jika menggunakan shell zshatau bash, gunakan opsi -s ke readshell builtin untuk membaca garis dari perangkat terminal tanpa itu menggemakannya.

IFS= read -rs VARIABLE < /dev/tty

Kemudian Anda dapat menggunakan beberapa pengalihan mewah untuk menggunakan variabel sebagai stdin.

sha1pass <<<"$VARIABLE"

Jika ada yang menjalankan ps, yang akan mereka lihat adalah "sha1pass".

Itu mengasumsikan bahwa sha1passmembaca kata sandi dari stdin (pada satu baris, mengabaikan pembatas baris) ketika tidak diberi argumen.

Idealnya, Anda tidak pernah mengetikkan kata sandi teks-jelas pada baris perintah sebagai argumen ke perintah. Melakukannya menjadikan kata sandi argumen untuk perintah, dan argumen baris perintah dapat dilihat dalam tabel proses dengan menggunakan alat sederhana seperti psatau masuk ke beberapa log audit.

Karena itu, pasti ada cara untuk menyembunyikan kata sandi yang sebenarnya dari sejarah perintah shell.

sha1pass "$( head -n 1 )"

Kemudian ketikkan kata sandi dan tekan Enter. The headperintah yang digunakan di sini menerima tepat satu garis masukan dan baris baru terakhir yang Anda ketik tidak akan menjadi bagian dari data yang dilewatkan ke sha1pass.

Untuk mencegah karakter bergema:

sha1pass "$( stty -echo; head -n 1; stty echo )"

The stty -echoperintah bergantian off bergema dari karakter diketik di terminal. Gema kemudian dipulihkan dengan stty echo.

Untuk meneruskan input standar, perintah terakhir itu dapat diubah (Anda akan melakukan ini jika sha1passdata yang diterima pada input standar, tetapi tampak seolah-olah utilitas khusus ini mengabaikan input standarnya):

{ stty -echo; head -n 1; stty echo; } | somecommand

Jika Anda memerlukan input multi-baris (di atas mengasumsikan satu baris harus dilewati, tanpa karakter baris baru di akhir), lalu ganti seluruh headperintah dengan catdan hentikan input (dengan asumsi somecommanditu sendiri berbunyi hingga akhir file) dengan Ctrl+D( mengikuti Returnjika Anda ingin memasukkan karakter baris baru dalam input, atau dua kali jika tidak).

Ini akan berfungsi terlepas dari shell apa yang Anda gunakan (asalkan itu shell Bourne-like atau rc-like).

Beberapa shell mungkin dibuat untuk tidak menyimpan perintah yang diketik dalam file histori mereka jika perintah tersebut didahului oleh spasi. Ini biasanya melibatkan harus mengatur HISTCONTROLke nilai ignorespace. Ini didukung oleh setidaknya bashdan kshpada OpenBSD, tetapi tidak oleh eg ksh93atau dash. zshpengguna dapat menggunakan histignorespaceopsi atau HISTORY_IGNOREvariabel mereka untuk menentukan pola untuk diabaikan.

Dalam cangkang yang mendukung membaca dengan readtanpa menggema karakter ke terminal, Anda juga dapat menggunakan

IFS= read -rs password     # -s turns off echoing in bash or zsh
                           # -r for reading backslashes as-is,
                           # IFS= to preserve leading and trailing blanks
sha1pass "$password"

tetapi ini jelas masih memiliki masalah yang sama dengan berpotensi mengungkapkan kata sandi dalam tabel proses.

Jika utilitas membaca dari input standar, dan jika shell mendukung "di sini-string", yang di atas dapat diubah menjadi

IFS= read -rs password
somecommand <<<"$password"

Ringkasan komentar di bawah ini:

• Menjalankan perintah dengan kata sandi yang diberikan pada baris perintah, yang dilakukan oleh semua perintah di atas, kecuali yang mengirim data ke perintah, berpotensi akan membuat kata sandi terlihat oleh siapa saja yang menjalankan pspada saat yang sama. Namun tidak satu pun dari perintah di atas yang akan menyimpan kata sandi yang diketikkan dalam file histori shell jika dijalankan dari shell interaktif.

• Program berperilaku baik yang membaca kata sandi teks jernih melakukannya dengan membaca dari input standar mereka, dari file, atau langsung dari terminal.

• sha1pass memang membutuhkan kata sandi pada baris perintah, baik diketik langsung atau menggunakan beberapa bentuk substitusi perintah.

• Jika memungkinkan, gunakan alat lain.

Jika Anda mengatur HISTCONTROLseperti itu:

HISTCONTROL=ignorespace

dan mulai perintah dengan spasi:

~$  mycommand

itu tidak akan disimpan dalam sejarah.

Lulus data sensitif melalui pipa atau di sini-dok:

command_with_secret_output | command_with_secret_input

atau:

command_with_secret_input <<EOF
$secret
EOF

Tidak masalah jika rahasia berada dalam variabel shell (tidak diekspor), tetapi Anda tidak akan pernah bisa menggunakan variabel itu di baris perintah, hanya di sini-dokumen dan internal shell.

Seperti dicatat oleh Kusalananda dalam komentar, jika Anda memasukkan perintah dalam shell interaktif, baris yang Anda masukkan untuk dokumen di sini akan disimpan dalam histori shell, jadi tidak aman untuk mengetikkan kata sandi di sana, tetapi harus tetap aman untuk menggunakan variabel shell yang berisi rahasia; sejarah akan berisi teks $secretdaripada apa pun yang $secretdiperluas.

Penggunaan ekspansi perintah tidak aman :

command_with_secret_input "$(command_with_secret_output)"

karena output akan dimasukkan pada baris perintah dan terlihat di psoutput (atau secara manual membaca dari / proc) kecuali pada sistem dengan hardened / proc.

Penugasan ke sebuah variabel juga oke:

secret=$(command_with_secret_output)

Cukup tulis nilai ke dalam file dan berikan file:

$ cat > mysecret
Big seecreeeet!
$ cat mysecret | sha1pass 

Saya tidak yakin cara sha1passkerjanya, jika bisa mengambil file sebagai input, Anda bisa menggunakan sha1pass < mysecret. Jika tidak, menggunakan catmungkin menjadi masalah karena termasuk baris baru akhir. Jika itu masalahnya, gunakan (jika headdukungan Anda -c):

head -c-1 mysecret | sha1pass 

Jika apa yang dilakukan terdon adalah mungkin, maka itu solusi terbaik, melewati input standar. Satu-satunya masalah yang tersisa adalah dia menulis kata sandi ke disk. Kita bisa melakukan ini sebagai gantinya:

stty -echo
echo -n "password: "
head -1 | sha1pass
stty echo

Seperti yang dikatakan Kusalananda, stty -echopastikan apa yang Anda ketik tidak terlihat sampai Anda melakukannya stty echolagi. head -1akan mendapatkan satu baris dari input standar dan meneruskannya ke sha1pass.

Saya akan menggunakan

sha1pass "$(cat)"

catakan membaca dari stdin hingga EOF, yang dapat disebabkan oleh menekan Ctrl + D. Kemudian, hasilnya akan diteruskan sebagai argumen untuksha1pass