Est-il sûr d'utiliser l'écho pour transmettre des données sensibles dans chpasswd?

J'essaie de définir en masse quelques mots de passe de compte d'utilisateur à l'aide chpasswd. Les mots de passe doivent être générés de manière aléatoire et imprimés sur stdout(j'ai besoin de les écrire ou de les mettre dans un magasin de mots de passe), et également passés dans chpasswd.

Naïvement, je ferais ça comme ça

{
  echo student1:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
  echo student2:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
} | tee >(chpasswd)

Cependant, je m'inquiète de passer le nouveau mot de passe comme argument de ligne de commande echo, car les arguments sont généralement visibles par les autres utilisateurs de ps -aux(bien que je n'ai jamais vu de echoligne apparaître ps).

Existe-t-il une autre façon d'ajouter une valeur à mon mot de passe retourné, puis de la transmettre chpasswd?

Votre code doit être sûr car il echon'apparaîtra pas dans la table de processus car il s'agit d'un shell intégré.

Voici une solution alternative:

#!/bin/bash

n=20
paste -d : <( seq -f 'student%.0f' 1 "$n" ) \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Cela crée les noms et mots de passe de vos élèves n, sans passer de mot de passe sur aucune ligne de commande d'une commande.

L' pasteutilitaire colle plusieurs fichiers sous forme de colonnes et insère un délimiteur entre eux. Ici, nous utilisons :comme délimiteur et lui donnons deux "fichiers" (substitutions de processus). Le premier contient la sortie d'une seqcommande qui crée 20 noms d'utilisateur d'étudiant, et le second contient la sortie d'un pipeline qui crée 20 chaînes aléatoires de longueur 13.

Si vous avez un fichier avec des noms d'utilisateur déjà généré:

#!/bin/bash

n=$(wc -l <usernames.txt)

paste -d : usernames.txt \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Ceux-ci enregistreront les mots de passe et les noms d'utilisateur dans le fichier secret.txtau lieu d'afficher les mots de passe générés dans le terminal.

echoest très probablement intégré au shell, il n'apparaîtra donc pas pscomme un processus séparé.

Mais vous n'avez pas besoin d'utiliser la substitution de commandes, vous pouvez simplement avoir la sortie du pipeline directement vers chpasswd:

{  printf "%s:" "$username";
   head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo ''
} | chpasswd 

Si vous souhaitez modifier plusieurs mots de passe en une seule fois chpasswd, il devrait être facile de répéter les parties essentielles. Ou faites-en une fonction:

genpws() {
    for user in "$@"; do
        printf "%s:" "$user";
        head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13
        echo
    done
}
genpws username1 username2... | chpasswd 

En passant: cela head /dev/urandomsemble un peu étrange car il urandomn'est pas orienté ligne. Il pourrait y lire des quantités excessives d'octets, ce qui affectera la notion du noyau d'entropie disponible, ce qui pourrait entraîner un /dev/randomblocage. Il pourrait être plus propre de simplement lire une quantité fixe de données et d'utiliser quelque chose comme base64pour convertir les octets aléatoires en caractères imprimables (au lieu de simplement jeter environ 3/4 des octets que vous obtenez).

Quelque chose comme ça vous donnerait environ. 16 caractères et chiffres:

head -c 12 /dev/urandom | base64 | tr -dc A-Za-z0-9 

(soit 16 moins la quantité de +et /caractères dans la sortie base64. La chance soit est 1/32 par caractère, donc si je suis mon combinatoires droite, qui donne environ 99% de chances de laisser au moins 14 caractères, et 99,99% de chances de quitter au moins 12.)