Генерация случайного пароля; почему это не портативный?

Я хочу создать случайный пароль, и я делаю это так:

</dev/urandom tr -dc [:print:] | head -c 64

На моем ноутбуке, на котором работает Ubuntu, он производит только печатные символы, как и предполагалось. Но когда я захожу на сервер моей школы, на котором работает Red Hat Enterprise Linux, и запускаю его там, я получаю вывод 3!ri�b�GrӴ��1�H�<�oM����&�nMC[�Pb�|L%MP�����9��fL2q���IFmsd|l�K, который не будет работать вообще. Что может быть не так?

Это ваша локаль и TR проблема.

В настоящее время GNU tr полностью поддерживает только однобайтовые символы. Так что в локалях, использующих многобайтовые кодировки, вывод может быть странным:

$ </dev/urandom LC_ALL=vi_VN.tcvn tr -dc '[:print:]' | head -c 64
`�pv���Z����c�ox"�O���%�YR��F�>��췔��ovȪ������^,<H ���>

Оболочка будет правильно печатать многобайтовые символы, но GNU trудалит байты, которые она считает не пригодными для печати.

Если вы хотите, чтобы он был стабильным, вы должны установить локаль:

$ </dev/urandom LC_ALL=C tr -dc '[:print:]' | head -c 64
RSmuiFH+537z+iY4ySz`{Pv6mJg::RB;/-2^{QnKkImpGuMSq92D(6N8QF?Y9Co@

Рассмотрим вместо

$ dd if=/dev/urandom bs=48 count=1 status=none | base64
imW/X60Sk9TQzl+mdS5PL7sfMy9k/qFBWWkzZjbYJttREsYpzIguWr/uRIhyisR7

Это имеет два преимущества:

• Вы читаете только 48 байтов со случайного устройства, а не ~ 8 КБ; если другие процессы на том же хосте нуждаются в случайных числах, 8 КБ, истощенных сразу, могут стать серьезной проблемой. (Да, возможно , никто не должен быть с помощью блокировки случайного устройства, но люди делают .)

• Вывод base64практически не содержит символов со специальными значениями. (Ибо никто вообще, клейкости | tr +/ -_на конце, и (как в приведенном примере) убедитесь , что число байтов ввода , чтобы base64это кратно 3.)

Пароль, сгенерированный таким образом, имеет ровно 384 бита энтропии, что несколько меньше, чем вы делали (журнал ₂ 96 ⁶⁴ ≈ 421,4), но более чем достаточно для большинства целей (256 бит энтропии безопасны, «все еще догадываясь, когда Солнце выжигает "территорию за исключением ключей RSA, AFAIK).

Другие люди уже указывали, что локаль определяет, что [:print:]значит. Однако не все печатные символы подходят для паролей (даже в ascii). Вы действительно не хотите пробелов, табуляции и # $% ^? в вашем пароле - это не просто сложно запомнить, это также потенциально опасно для базовой системы аутентификации, может быть невозможно ввести в поле ввода и т. д. В этом случае вам просто нужно вручную выбрать «нормальные» символы:

LC_ALL=C </dev/urandom tr -dc '[:alnum:]_' | head -c 64

или просто

</dev/urandom tr -dc 'A-Za-z0-9_' | head -c 64

Или даже лучше, используйте base64как предложено в других ответах.

Как насчет

tr -dc [:print:] < /dev/urandom | head -c 64 | strings

строки должны печатать выходные данные urandom в печатном формате

Я не знаю, есть ли причина, по которой вы используете /dev/randomпароль, но я бы порекомендовал вам использовать pwgen, чтобы облегчить вашу боль.

$ pwgen -s 10 1

Где 10 - длина пароля.

http://man.cx/pwgen

#Chars allowed in password (I don't like l,o,O, etc):
P="0123456789ABCDEFGHIJKLMNPQRSTUVWXYZabcdefghijkmnpqrstuvwxyz"

#Or such:
#P="a-zA-Z0-9"

head -c 8 < /dev/urandom | tr '\000-\377' "$P$P$P$P$P"
echo

Этот метод IMHO умнее, когда он использует данные из / dev / urandom. Строка, вставленная как $ P $ P $ P ..., должна иметь длину не менее 256 символов.