È sicuro usare l'eco per trasferire dati sensibili in chpasswd?

Sto cercando di impostare in serie alcune password dell'account utente utilizzando chpasswd. Le password devono essere generate in modo casuale e stampate su stdout(ho bisogno di scriverle o metterle in un archivio di password) e anche passarle chpasswd.

Ingenuamente, lo farei così

{
  echo student1:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
  echo student2:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
} | tee >(chpasswd)

Tuttavia, mi preoccupo di passare la nuova password come argomento a riga di comando echo, poiché gli argomenti sono di solito visibili ad altri utenti ps -aux(anche se non ho mai visto echoapparire alcuna riga ps).

Esiste un modo alternativo di anteporre un valore alla mia password restituita e poi passarlo in chpasswd?

Il codice dovrebbe essere sicuro in quanto echonon verrà visualizzato nella tabella dei processi poiché è una shell integrata.

Ecco una soluzione alternativa:

#!/bin/bash

n=20
paste -d : <( seq -f 'student%.0f' 1 "$n" ) \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Questo crea i nomi e le password ndei tuoi studenti, di essi, senza passare alcuna password su qualsiasi riga di comando di qualsiasi comando.

L' pasteutilità incolla diversi file come colonne e inserisce un delimitatore tra di essi. Qui, usiamo :come delimitatore e diamo due "file" (sostituzioni di processo). Il primo contiene l'output di un seqcomando che crea 20 nomi utente studente e il secondo contiene l'output di una pipeline che crea 20 stringhe casuali di lunghezza 13.

Se hai già un file con nomi utente già generati:

#!/bin/bash

n=$(wc -l <usernames.txt)

paste -d : usernames.txt \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Questi salveranno le password e i nomi utente nel file secret.txtinvece di mostrare le password generate nel terminale.

echoè molto probabilmente integrato nella shell, quindi non apparirebbe pscome un processo separato.

Ma non è necessario utilizzare la sostituzione dei comandi, puoi semplicemente avere l'output dalla pipeline direttamente a chpasswd:

{  printf "%s:" "$username";
   head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo ''
} | chpasswd 

Se si desidera modificare più password con una sola esecuzione chpasswd, dovrebbe essere facile ripetere le parti essenziali. O trasformalo in una funzione:

genpws() {
    for user in "$@"; do
        printf "%s:" "$user";
        head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13
        echo
    done
}
genpws username1 username2... | chpasswd 

A parte questo: head /dev/urandomsembra strano perché urandomnon è orientato alla linea. Potrebbe leggere una quantità eccessiva di byte, il che influenzerà la nozione di entropia disponibile del kernel, che a sua volta potrebbe portare al /dev/randomblocco. Potrebbe essere più semplice leggere una quantità fissa di dati e usare qualcosa di simile base64per convertire i byte casuali in caratteri stampabili (invece di buttare via circa 3/4 dei byte che ottieni).

Qualcosa del genere ti darebbe circa. 16 caratteri e numeri:

head -c 12 /dev/urandom | base64 | tr -dc A-Za-z0-9 

(vale a dire 16 in meno la quantità +e i /caratteri nell'output di base64. La possibilità di entrambi è 1/32 per carattere, quindi se ho la mia combinazione combinatoria giusta, ciò dà circa il 99% di possibilità di lasciare almeno 14 caratteri, e una probabilità del 99,99% di lasciare almeno 12.)