我正在编写一个 PowerCLI 脚本,该脚本通过模板部署和配置虚拟机。在配置阶段,我必须运行一些命令,这些命令需要访客的根用户名和密码才能在 VM 上运行脚本。这些是模板的默认凭据,它们以纯文本形式存储在我的脚本中。配置完成后,我让用户使用 SecureString Credentials 更改他们的密码。
我担心的是,由于我正在配置的虚拟机的性质,如果有人可以在我的脚本中找到我拥有的默认纯文本凭据,那么他们就有很大的机会访问此虚拟机。有没有办法在加密的脚本中存储默认凭据?
【问题讨论】:
可以使用受信任的存储和ConvertTo-SecureString 存储针对用户帐户加密的凭据。
以下是针对您的帐户加密值的方法,您要加密的值存储在$Password 中。确保在$configDir下也设置了一个路径以将密码存储在一个文件中。
$Password = "SomeValue"
#Path to store the credential
$configDir = "$Env:AppData\WindowsPowerShell\Modules\YourScriptName\0.1\Config.ps1xml"
$password = ConvertTo-SecureString "SomeValue" -AsPlainText -Force
$password | ConvertFrom-SecureString | Export-Clixml $configDir -Force
现在,从加密中恢复密码:
$password = Import-Clixml -Path $configDir -ErrorAction STOP | ConvertTo-SecureString
$Ptr = [System.Runtime.InteropServices.Marshal]::SecureStringToCoTaskMemUnicode($password)
$password= [System.Runtime.InteropServices.Marshal]::PtrToStringUni($Ptr)
您的密码最终会存储在$password。
【讨论】: