Безопасный способ передать пароль для> 1 программ в Bash

Я пишу bashскрипт, и мне нужно спросить у пользователя его пароль и передать его openssl. Хотя opensslсам пароль могу прочитать, мне нужно два прогона программы, и я не хочу спрашивать пользователя дважды. Вот сценарий:

cp file{,.old}
read -sp 'Enter password. ' PASS; echo
export PASS

# decode | edit | encode
openssl enc -d -aes-256-cbc -k "$PASS" -in file.old | \
  sed ... | openssl enc -e -aes-256-cbc -k "$PASS" -out file

unset PASS

Это небезопасно, так как пароль легко получить, посмотрев на командную строку; кто-то может прочитать это ps, например.

opensslможет прочитать пароль из переменной окружения, так что я могу заменить -k "$PASS"с -pass env:PASS, но это по - прежнему не безопасно; переменные окружения любого процесса могут быть прочитаны свободно (опять же, это psможно сделать).

Итак, как я могу безопасно передать пароль для двух opensslэкземпляров?

Передайте пароль в отдельном файловом дескрипторе от входа (дважды, один раз для шифрования и один раз для дешифрования). Не экспортировать PASSв окружающую среду.

read -sp 'Enter password. ' PASS
printf '%s\n' "$PASS" |
openssl enc -d -aes-256-cbc -kfile /dev/stdin -in file.old |
sed ... | {
  printf '%s\n' "$PASS" |
  openssl enc -e -aes-256-cbc -kfile /dev/stdin -in /dev/fd/3 -out file;
} 3<&0

Если ваша система не имеет /dev/fd, вы можете использовать -passаргумент, чтобы сказать, opensslчтобы прочитать фразу-пароль из дескриптора открытого файла.

printf '%s\n' "$PASS" | {
  printf '%s\n' "$PASS" |
  openssl enc -d -aes-256-cbc -pass fd:0 -in file.old |
  tr a-z A-Z | tee /dev/tty | {
  openssl enc -e -aes-256-cbc -pass fd:3 -out file; }
} 3<&0

Используя Bash, это можно сделать без использования printf '%s\n' "$PASS", связав так называемую здесь строку с файловыми дескрипторами, используя встроенную execкоманду Bash .

Для получения дополнительной информации см .: Защита паролем сценария командной строки параметров командной строки .

(

# sample code to edit password-protected file with openssl
# user should have to enter password only once
# password should not become visible using the ps command

echo hello > tmp.file

#env -i bash --norc   # clean up environment
set +o history
unset PASS || exit 1

read -sp 'Enter password. ' PASS; echo

# encrypt file and protect it by given password
exec 3<<<"$PASS"
openssl enc -e -aes-256-cbc -pass fd:3  -in tmp.file -out file

cp file{,.old}

# decode | edit | encode
exec 3<<<"$PASS" 4<<<"$PASS"
openssl enc -d -aes-256-cbc -pass fd:3 -in file.old | 
   sed 's/l/L/g' | 
   openssl enc -e -aes-256-cbc -pass fd:4 -out file

exec 3<<<"$PASS"
openssl enc -d -aes-256-cbc -pass fd:3 -in file

rm -P tmp.file file.old
unset PASS

)

Извините, мой предыдущий ответ был от openssl man, а не от openssl enc docs.

Это решение не является конвейером, но я считаю, что это решение предотвращает видимость пароля для PS.

Используя здесь документ, только openssl видит текст пароля.
Пока вы уверены, что удалите промежуточный файл, никаких следов не останется. Может быть, кто-то может помочь сделать это в конвейере и устранить промежуточный файл?

# cp file{,.old}  don't need this anymore since intermediate becomes same
read -sp 'Enter password. ' PASS; echo
#no need to export, env's are readable, as mentioned

# decode into intermediate file
openssl <<HERE 2>&1 >/dev/null
enc -d -aes-256-cbc -k "$PASS" -in file -out intermediate
HERE

# edit intermediate

# encode intermediate back into file
openssl <<HERE 2>&1 >/dev/null
enc -e -aes-256-cbc -k "$PASS" -in intermediate -out file 
HERE
unset PASS
rm -f intermediate