Есть ли способ передать конфиденциальные данные в bash, используя приглашение для любой команды?

Предположим, что я использовал sha1passдля генерации хеш-кода некоторого секретного пароля в командной строке. Я могу использовать sha1pass mysecretдля генерации хеша, mysecretно это имеет тот недостаток, который mysecretсейчас есть в истории bash. Есть ли способ выполнить конечную цель этой команды, избегая раскрытия mysecretв виде простого текста, возможно, с помощью passwdприглашения -style?

Я также заинтересован в обобщенном способе сделать это для передачи конфиденциальных данных любой команде. Метод будет меняться, когда конфиденциальные данные передаются в качестве аргумента (например, в sha1pass) или в STDIN какой-либо команде.

Есть ли способ сделать это?

Изменить : Этот вопрос привлек большое внимание, и было несколько хороших ответов, предложенных ниже. Резюме:

• Согласно ответу @ Kusalananda , в идеале никогда бы не пришлось вводить пароль или секрет в качестве аргумента командной строки для утилиты. Это уязвимо в нескольких отношениях, как он его описал, и следует использовать более совершенную утилиту, способную принимать секретные данные на STDIN.
• Ответ @ vfbsilva описывает, как предотвратить сохранение вещей в истории bash.
• @ В ответе Джонатана описан совершенно хороший метод для достижения этой цели, если программа может хранить свои секретные данные в STDIN. Поэтому я решил принять этот ответ. sha1passв моем ОП был только пример, но обсуждение установило, что существуют лучшие инструменты, которые принимают данные о STDIN.
• а @R .. отмечает в своем ответе , использование расширения команды на переменном не безопасно.

Итак, в целом, я принял ответ @ Jonathan, так как это лучшее решение, учитывая, что у вас есть хорошо продуманная и хорошо управляемая программа для работы. Хотя передача пароля или секрета в качестве аргумента командной строки принципиально небезопасна, другие ответы предоставляют способы смягчения простых проблем безопасности.

При использовании оболочки zshили bashиспользуйте опцию -s readвстроенной оболочки, чтобы прочитать строку из оконечного устройства, не повторяя ее.

IFS= read -rs VARIABLE < /dev/tty

Затем вы можете использовать некоторое перенаправление, чтобы использовать переменную в качестве стандартного ввода.

sha1pass <<<"$VARIABLE"

Если кто-нибудь запустится ps, он увидит только «sha1pass».

Это предполагает, что sha1passсчитывает пароль из stdin (в одной строке, игнорируя разделитель строк), когда не задано никакого аргумента.

В идеале, вы никогда не должны вводить открытый текстовый пароль в командной строке в качестве аргумента команды. Это делает пароль аргументом команды, а аргументы командной строки можно увидеть в таблице процессов, используя простые инструменты, такие как psили зарегистрированные в некоторых журналах аудита.

Сказав это, безусловно, есть способы скрыть фактический пароль от истории команд оболочки.

sha1pass "$( head -n 1 )"

Затем введите пароль и нажмите Enter. headКоманда , используемая здесь принимает ровно одну строку ввода и последний символ новой строки , что вы типа не будет частью данных , который передается sha1pass.

Чтобы символы не повторялись:

sha1pass "$( stty -echo; head -n 1; stty echo )"

Команда stty -echoотключает отображение введенных символов на терминале. Эхо затем восстанавливается с помощью stty echo.

Чтобы передать стандартный ввод, эту последнюю команду можно изменить (вы бы сделали это, если бы sha1passприняли данные на стандартном вводе, но похоже, что эта конкретная утилита игнорирует свой стандартный ввод):

{ stty -echo; head -n 1; stty echo; } | somecommand

Если вам требуется многострочный ввод (в приведенном выше примере предполагается, что должна быть пропущена одна строка без символа новой строки в конце), тогда замените всю headкоманду на catи завершите ввод (предполагая, что somecommandон читает до конца файла) с помощью Ctrl+D( следующее, Returnесли вы хотите включить символ ввода новой строки во ввод, или дважды, если нет).

Это будет работать независимо от того, какую оболочку вы используете (если это была оболочка типа Bourne или rc).

Некоторые оболочки могут быть сделаны, чтобы не сохранять введенные команды в своих файлах истории, если команде предшествует пробел. Обычно это связано с необходимостью установить HISTCONTROLзначение ignorespace. Это поддерживается по крайней мере bashи kshв OpenBSD, но не, например, ksh93или dash. zshпользователи могут использовать эту histignorespaceопцию или их HISTORY_IGNOREпеременную для определения шаблона, который следует игнорировать.

В оболочках, которые поддерживают чтение readбез вывода символов на терминал, вы также можете использовать

IFS= read -rs password     # -s turns off echoing in bash or zsh
                           # -r for reading backslashes as-is,
                           # IFS= to preserve leading and trailing blanks
sha1pass "$password"

но это, очевидно, все еще имеет ту же проблему с возможным раскрытием пароля в таблице процессов.

Если утилита читает из стандартного ввода, и если оболочка поддерживает «here-строки», вышеприведенное можно изменить на

IFS= read -rs password
somecommand <<<"$password"

Сводка комментариев ниже:

• Выполнение команды с паролем, заданным в командной строке, что делают все вышеперечисленные команды, кроме той, которая передает данные в команду, потенциально сделает пароль видимым для всех, кто работает psодновременно. Однако ни одна из приведенных выше команд не сохранит введенный пароль в файле истории оболочки, если он выполняется из интерактивной оболочки.

• Программы с хорошим поведением, которые считывают пароли в виде открытого текста, делают это, считывая данные из стандартного ввода, из файла или непосредственно из терминала.

• sha1pass Для этого требуется пароль в командной строке, либо введенный напрямую, либо с использованием какой-либо формы подстановки команд.

• Если это вообще возможно, используйте другой инструмент.

Если вы установите HISTCONTROLтак:

HISTCONTROL=ignorespace

и запустите команду с пробелом:

~$  mycommand

это не будет сохранено в истории.

Передайте конфиденциальные данные через канал или здесь-документ:

command_with_secret_output | command_with_secret_input

или:

command_with_secret_input <<EOF
$secret
EOF

Хорошо, когда секреты хранятся в (неэкспортируемых) переменных оболочки, но вы никогда не сможете использовать эти переменные в командной строке, только в документах here и внутри оболочки.

Как отметил Кусалананда в комментарии, если вы вводите команды в интерактивной оболочке, строки, которые вы вводите для документа здесь, будут сохранены в истории оболочки, поэтому вводить пароль там небезопасно, но он все равно должен быть безопасно использовать переменные оболочки, содержащие секреты; история будет содержать текст, $secretа не что-либо $secretрасширенное до.

Использование расширений команд небезопасно :

command_with_secret_input "$(command_with_secret_output)"

потому что вывод будет включен в командную строку и виден в psвыводе (или при чтении вручную из / proc), за исключением систем с усиленной / proc.

Назначение переменной тоже хорошо:

secret=$(command_with_secret_output)

Просто запишите значение в файл и передайте файл:

$ cat > mysecret
Big seecreeeet!
$ cat mysecret | sha1pass 

Я не уверен, как sha1passработает, если он может принять файл в качестве ввода, вы можете использовать sha1pass < mysecret. Если нет, использование catможет быть проблемой, так как он включает в себя последний перевод строки. Если это так, используйте (если headподдерживает -c):

head -c-1 mysecret | sha1pass 

Если то, что сделал Тердон, возможно, то это лучшее решение, проходящее через стандартный ввод. Осталась только одна проблема - он записал пароль на диск. Мы можем сделать это вместо этого:

stty -echo
echo -n "password: "
head -1 | sha1pass
stty echo

Как сказал Кусалананда, stty -echoто , что вы печатаете, не будет видно, пока вы не сделаете это stty echoснова. head -1получит одну строку из стандартного ввода и передать его sha1pass.

я хотел бы использовать

sha1pass "$(cat)"

catбудет читать со стандартного ввода до EOF, что может быть вызвано нажатием Ctrl + D. Затем результат будет передан в качестве аргументаsha1pass