Ist es sicher, Echo zu verwenden, um vertrauliche Daten an chpasswd zu übergeben?

Ich versuche, einige Benutzerkontokennwörter unter Verwendung der Masse einzustellen chpasswd. Die Passwörter sollten zufällig generiert und gedruckt werden stdout(ich muss sie aufschreiben oder in einen Passwortspeicher stellen) und auch an übergeben werden chpasswd.

Naiv würde ich das so machen

{
  echo student1:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
  echo student2:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
} | tee >(chpasswd)

Ich mache mir jedoch Sorgen, das neue Kennwort als Befehlszeilenargument an zu übergeben echo, da Argumente normalerweise für andere Benutzer in sichtbar sind ps -aux(obwohl ich in nie eine echoZeile gesehen habe ps).

Gibt es eine alternative Möglichkeit, meinem zurückgegebenen Kennwort einen Wert voran zu stellen und diesen dann weiterzugeben chpasswd?

Ihr Code sollte sicher sein, da er echonicht in der Prozesstabelle angezeigt wird, da er in eine Shell integriert ist.

Hier ist eine alternative Lösung:

#!/bin/bash

n=20
paste -d : <( seq -f 'student%.0f' 1 "$n" ) \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Dadurch werden die Namen und Kennwörter Ihrer Schüler erstellt n, ohne dass Kennwörter in einer Befehlszeile eines Befehls übergeben werden müssen.

Das pasteDienstprogramm fügt mehrere Dateien als Spalten zusammen und fügt ein Trennzeichen dazwischen ein. Hier verwenden wir :als Begrenzer und geben ihm zwei "Dateien" (Prozessersetzungen). Der erste seqBefehl enthält die Ausgabe eines Befehls, der 20 Benutzernamen für Schüler erstellt, und der zweite Befehl enthält die Ausgabe einer Pipeline, die 20 zufällige Zeichenfolgen der Länge 13 erstellt.

Wenn Sie bereits eine Datei mit Benutzernamen erstellt haben:

#!/bin/bash

n=$(wc -l <usernames.txt)

paste -d : usernames.txt \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Diese speichern die Passwörter und Benutzernamen in der Datei, secret.txtanstatt die generierten Passwörter im Terminal anzuzeigen.

echoist sehr wahrscheinlich in die Shell integriert, sodass sie nicht psals separater Prozess angezeigt wird.

Sie müssen die Befehlssubstitution jedoch nicht verwenden, sondern können die Ausgabe der Pipeline direkt an chpasswdfolgende Adresse senden :

{  printf "%s:" "$username";
   head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo ''
} | chpasswd 

Wenn Sie mehrere Passwörter in einem Durchgang ändern möchten chpasswd, sollte es einfach sein, die wesentlichen Teile wiederholen zu lassen. Oder mache daraus eine Funktion:

genpws() {
    for user in "$@"; do
        printf "%s:" "$user";
        head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13
        echo
    done
}
genpws username1 username2... | chpasswd 

Nebenbei: das head /dev/urandom fühlt sich etwas merkwürdig an, da urandomes nicht zeilenorientiert ist. Möglicherweise werden übermäßig viele Bytes daraus gelesen, was sich auf die Vorstellung des Kernels von der verfügbaren Entropie auswirkt, was wiederum zum /dev/randomBlockieren führen kann. Es könnte sauberer sein, nur eine feste Datenmenge zu lesen und base64die zufälligen Bytes in druckbare Zeichen umzuwandeln (anstatt nur etwa 3/4 der erhaltenen Bytes wegzuwerfen).

So etwas würde Ihnen ca. 16 Zeichen und Zahlen:

head -c 12 /dev/urandom | base64 | tr -dc A-Za-z0-9 

(das heißt, 16 abzüglich der Anzahl +und der /Zeichen in der Ausgabe von base64. Die Chance von entweder 1/32 pro Zeichen, also wenn ich meine Kombinatorik richtig verstanden habe, ergibt das eine 99% ige Chance, mindestens 14 Zeichen zu lassen, und eine 99,99% ige Chance, mindestens 12 zu verlassen.)