密码和脚本
将密码放在 shell 脚本中并不是一个好主意。事实上,这是一个非常糟糕的主意。如果脚本落入坏人之手,每个阅读它的人都可以看到密码是什么。但是如果你被迫使用脚本,你还能做什么?
当进程到达该点时,您可以手动输入密码,但如果脚本要在无人看管的情况下运行,那将不起作用。值得庆幸的是,有一种替代方法可以将密码硬编码到脚本中。与直觉相反,它使用不同的密码以及一些强加密来实现这一点。
在我们的示例场景中,我们需要从我们的 Ubuntu 计算机远程连接到 Fedora Linux 计算机。我们将使用 Bash shell 脚本与 Fedora 计算机建立 SSH 连接。该脚本必须在无人值守的情况下运行,我们不想将远程帐户的密码放在脚本中。在这种情况下我们不能使用 SSH 密钥,因为我们假装我们对 Fedora 计算机没有任何控制或管理权限。
我们将使用著名的 OpenSSL 工具包 来处理加密,并使用一个实用程序sshpass来将密码输入 SSH 命令。
安装 OpenSSL 和 sshpass
由于许多其他加密和安全工具都使用 OpenSSL,因此您的计算机上可能已经安装了它。但是,如果不是,则安装只需要一点时间。
在 Ubuntu 上,键入以下命令:
sudo apt 获取 openssl
要安装sshpass,请使用以下命令:
sudo apt 安装 sshpass
在 Fedora 上,您需要输入:
须藤 dnf 安装 openssl
安装命令sshpass为:
须藤 dnf 安装 sshpass
在 Manjaro Linux 上,我们可以使用以下命令安装 OpenSSL:
须藤吃豆子 -Sy openssl
最后,要安装sshpass,请使用以下命令:
须藤吃豆子 -Sy sshpass
在命令行上加密
在我们开始在openssl脚本中使用该命令之前,让我们通过在命令行上使用它来熟悉它。假设远程计算机上帐户的密码是rusty!herring.pitshaft. 我们将使用 加密该密码openssl。
当我们这样做时,我们需要提供一个加密密码。加密密码用于加密和解密过程。命令中有很多参数和选项 openssl 。稍后我们将逐一介绍它们。
echo 'rusty!herring.pitshaft' | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'pick.your.password'
我们正在使用echo通过管道将远程帐户密码发送到openssl 命令中。
该openssl参数是:
- enc -aes-256-cbc:编码类型。我们使用带有密码块链接的高级加密标准256 位密钥密码。
- -md sha512:消息摘要(散列)类型。我们正在使用 SHA512 加密算法。
- -a:这告诉
openssl在加密阶段之后和解密阶段之前应用 base-64 编码。 - -pbkdf2:使用基于密码的密钥派生函数 2 (PBKDF2) 使蛮力攻击更难以成功猜测您的密码。PBKDF2 需要许多计算来执行加密。攻击者需要复制所有这些计算。
- -iter 100000:设置 PBKDF2 将使用的计算次数。
- -salt:使用随机应用的盐值使加密输出每次都不同,即使纯文本相同。
- -pass pass:’pick.your.password’:我们需要用来解密加密的远程密码的密码。替换
pick.your.password为您选择的可靠密码。
我们rusty!herring.pitshaft 密码的加密版本 被写入终端窗口。
要解密它,我们需要openssl使用与加密时相同的参数传递加密字符串,但要添加-d(decrypt) 选项。
echo U2FsdGVkX19iiiRNhEsG+wm/uKjtZJwnYOpjzPhyrDKYZH5lVZrpIgo1S0goZU46 | openssl enc -aes-256-cbc -md sha512 -a -d -pbkdf2 -iter 100000 -salt -pass pass:'pick.your.password'
字符串被解密,我们的原始文本——远程用户帐户的密码——被写入终端窗口。
这证明我们可以安全地加密我们的远程用户帐户密码。我们也可以在需要时使用我们在加密阶段提供的密码解密它。
但这真的能改善我们的处境吗?如果我们需要加密密码来解密远程帐户密码,那么解密密码肯定需要在脚本中吗?嗯,是的,确实如此。但是加密的远程用户帐户密码将存储在不同的隐藏文件中。该文件的权限将阻止除您之外的任何人——以及系统的 root 用户,显然——访问它。
要将加密命令的输出发送到文件,我们可以使用重定向。该文件名为“.secret_vault.txt”。我们已将加密密码更改为更强大的密码。
echo 'rusty!herring.pitshaft' | openssl enc -aes-256-cbc -md sha512 -a -pbkdf2 -iter 100000 -salt -pass pass:'secret#vault!password' > .secret_vault.txt
没有任何可见的事情发生,但密码已加密并发送到“.secret_vault.txt”文件。
我们可以通过解密隐藏文件中的密码来测试它是否有效。请注意,我们在cat这里使用,而不是echo.
猫.secret_vault.txt | openssl enc -aes-256-cbc -md sha512 -a -d -pbkdf2 -iter 100000 -salt -pass pass:'secret#vault!password'
从文件中的数据成功解密密码。我们将用于chmod更改此文件的权限,以便其他人无法访问它。
chmod 600 .secret_vault.txtls -l .secret_vault.txt
使用 600 的权限掩码会删除文件所有者以外的任何人的所有访问权限。我们现在可以继续编写我们的脚本。
在脚本中使用 OpenSSL
我们的脚本非常简单:
#!/bin/bash
# 远程账户名称
REMOTE_USER=极客
# 远程账户的密码
REMOTE_PASSWD=$(cat .secret_vault.txt | openssl enc -aes-256-cbc -md sha512 -a -d -pbkdf2 -iter 100000 -salt -pass pass:'secret#vault!password')
#远程计算机
REMOTE_LINUX=fedora-34.local
# 连接到远程计算机并在名为 script.log 的文件中放置一个时间戳
sshpass -p $REMOTE_PASSWD ssh -T $REMOTE_USER@$REMOTE_LINUX << _remote_commands
echo $USER "-" $(date) >> /home/$REMOTE_USER/script.log
_remote_commands- 我们设置了一个名为
REMOTE_USER“geek”的变量。 - 然后
REMOTE_PASSWD,我们使用刚才使用的相同命令,设置一个变量,该变量称为从“.secret_vault.txt”文件中提取的解密密码的值。 - 远程计算机的位置存储在一个名为 的变量中
REMOTE_LINUX。
有了这些信息,我们就可以使用该ssh命令连接到远程计算机。
- 该
sshpass命令是连接线上的第一个命令。我们将它与-p(密码)选项一起使用。这让我们可以指定应该发送给ssh命令的密码。 - 我们使用
-T(禁用伪终端分配)选项,ssh因为我们不需要在远程计算机上为我们分配伪 TTY。
我们正在使用一个简短的here 文档将命令传递到远程计算机。两个_remote_commands字符串之间的所有内容都作为指令发送到远程计算机上的用户会话——在本例中,它是一行 Bash 脚本。
发送到远程计算机的命令只是将用户帐户名和时间戳记录到名为“script.log”的文件中。
将脚本复制并粘贴到编辑器中,然后将其保存到名为“go-remote.sh”的文件中。请记住更改详细信息以反映您自己的远程计算机的地址、远程用户帐户和远程帐户密码。
使用chmod使脚本可执行文件。
chmod +x go-remote.sh
剩下的就是尝试一下。让我们启动我们的脚本。
./go-remote.sh
因为我们的脚本是无人值守脚本的极简模板,所以终端没有输出。但是如果我们检查 Fedora 计算机上的“script.log”文件,我们可以看到远程连接已成功建立,并且“script.log”文件已更新时间戳。
猫脚本.log
您的密码是私密的
您的远程帐户密码未记录在脚本中。
虽然解密密码是,在剧本,没有人能以解密和检索远程账号密码访问“.secret_vault.txt”文件。
