我正在编写使用 Expect 通过 telnet 登录到远程机器的 Perl 脚本(不要问,必须使用 telnet)。我还根据需要执行 p4 登录操作,并使用 expect 来输入正确的密码。现在我只是从明文环境变量中读取密码,即export PASSWORD=password,我知道这在安全方面并不好。
对于需要为多个系统提供大量密码的脚本,存储密码的最佳方式是什么?以某种方式加密在文本文件中?还是别的什么?
请记住,我无法轻易更改现有系统,例如我无法真正安装 SSH 或类似的东西。
【问题讨论】:
标签: perl encryption passwords expect
如果您使用的是 Mac OS X,我找到了this nifty way to grab usernames and passwords from your Keychain。
更新:截至 2013 年 7 月 22 日,该链接似乎已损坏。以下 bash 代码 sn-p 显示了我如何使用该技术(下载 iTunes 销售数据):
domain="itunesconnect.apple.com"
user="user@example.com"
pass=$(security find-internet-password -ws $domain -a $user)
【讨论】:
我喜欢已经提到的将密码放在单独文件中的解决方案。此外,您可以散列实际密码,就像在 /etc/passwd 中所做的那样。尽管您可能对所有这些都使用相同的哈希键,具体取决于您的应用程序。显然,这样做的缺点是有人必须输入哈希键才能运行您的脚本,而这在批处理环境中不起作用。
从这个stackoverflow question开始学习散列的一个地方
【讨论】:
如果您使用 telnet,为什么还要担心脚本中的密码?假定的攻击者会发现从网络上捕获数据比从远程机器上捕获数据更容易或更容易,而且在任何情况下您都无能为力。
这听起来像是试图在窗户上放上铁条,然后让门一直开着。
【讨论】:
之前有一个非常相似的问题,请参阅my answer。
简而言之,人类必须启动信任链。其他一切都是混淆视听。
【讨论】:
您最好的方法可能是将密码放在一个单独的文件中,并锁定该文件的安全性,以便只有您拥有读取权限。不幸的是,如果您在脚本中存储了加密密码,您还必须存储解密方法,以便攻击者可以运行解密并恢复您的密码。
【讨论】:
由于您已经在使用 expect,您应该考虑能够在包含您的密码的加密文件上重定向 gpg -d。在系统环境变量中存储密码是完全错误的。用于解密 gpg 文件的密码将在启动时输入,然后从文件中加载所有密码并运行您的东西。然后你就完成了,所以密码只在应用程序运行时以明文形式存在。
编辑 顺便说一句,将任何密码放在脚本中都是不好的;请记住,该脚本只是一个纯文本文件,它可以让您轻松查看该密码。同样,即使您编译的应用程序也可以用“字符串”反转,它可以查找代码中包含的字符串(通常是密码)。
【讨论】: