Безопасно ли использовать echo для передачи конфиденциальных данных в chpasswd?

Я пытаюсь массово установить несколько паролей учетных записей пользователей, используя chpasswd. Пароли должны генерироваться случайным образом и распечатываться stdout(мне нужно записать их или поместить в хранилище паролей), а также передать в chpasswd.

Наивно, я бы сделал это так

{
  echo student1:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
  echo student2:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
} | tee >(chpasswd)

Однако я беспокоюсь о передаче нового пароля в качестве аргумента командной строки echo, потому что аргументы обычно видны другим пользователям ps -aux(хотя я никогда не видел, чтобы в них echoпоявлялась какая-либо строка ps).

Есть ли альтернативный способ добавить значение к моему возвращенному паролю, а затем передать его в chpasswd?

Ваш код должен быть безопасным, так как echoон не будет отображаться в таблице процессов, поскольку это встроенная оболочка.

Вот альтернативное решение:

#!/bin/bash

n=20
paste -d : <( seq -f 'student%.0f' 1 "$n" ) \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Это создает ваши имена учеников и пароли, nиз них, без передачи каких-либо паролей в любой командной строке любой команды.

В pasteподсобном склеивает несколько файлов в виде столбцов и вставляет разделитель в промежутке между ними. Здесь мы используем :в качестве разделителя и даем ему два «файла» (процесса замены). Первый содержит выходные данные seqкоманды, которая создает 20 имен пользователей учеников, а второй содержит выходные данные конвейера, который создает 20 случайных строк длиной 13.

Если у вас есть файл с уже созданными именами пользователей:

#!/bin/bash

n=$(wc -l <usernames.txt)

paste -d : usernames.txt \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Это позволит сохранить пароли и имена пользователей в файле secret.txtвместо отображения сгенерированных паролей в терминале.

echoСкорее всего, встроен в оболочку, поэтому он не будет отображаться psкак отдельный процесс.

Но вам не нужно использовать подстановку команд, вы можете просто получить выходные данные из конвейера напрямую chpasswd:

{  printf "%s:" "$username";
   head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo ''
} | chpasswd 

Если вы хотите изменить несколько паролей одним прогоном chpasswd, то должно быть легко повторить основные части. Или превратить это в функцию:

genpws() {
    for user in "$@"; do
        printf "%s:" "$user";
        head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13
        echo
    done
}
genpws username1 username2... | chpasswd 

Как в стороне: это head /dev/urandomкажется немного странным, так urandomкак не ориентировано на линию. Он может считывать из него чрезмерное количество байтов, что повлияет на представление ядра о доступной энтропии, что, в свою очередь, может привести к /dev/randomблокировке. Возможно, было бы лучше просто прочитать фиксированный объем данных и использовать что-то вроде base64преобразования случайных байтов в печатные символы (вместо того, чтобы просто отбрасывать около 3/4 байтов, которые вы получаете).

Нечто подобное даст вам ок. 16 символов и цифр:

head -c 12 /dev/urandom | base64 | tr -dc A-Za-z0-9 

(то есть на 16 меньше количества символов +и /на выходе base64. Вероятность того или другого равна 1/32 на символ, поэтому, если я правильно понял свою комбинаторику, это дает примерно 99% шанса оставить как минимум 14 символов, и шанс 99,99% оставить хотя бы 12.)