使用echo将敏感数据传递到chpasswd是否安全？

我正在尝试使用批量设置一些用户帐户密码chpasswd。密码应随机生成并打印到stdout（我需要写下来或将它们放在密码存储区中），然后再传递到中chpasswd。

天真的，我会这样

{
  echo student1:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
  echo student2:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
} | tee >(chpasswd)

但是，我担心将新密码作为命令行参数传递给echo，因为参数通常对中的其他用户可见ps -aux（尽管我从未看到中echo出现任何行ps）。

是否有其他方法可以在返回的密码前添加一个值，然后将其传递给chpasswd？

您的代码应该是安全的，echo因为它是内置的shell ，因此不会出现在进程表中。

这是一个替代解决方案：

#!/bin/bash

n=20
paste -d : <( seq -f 'student%.0f' 1 "$n" ) \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

这将创建您的学生姓名和密码，n而无需在任何命令的任何命令行上传递任何密码。

该paste实用程序将几个文件作为列粘合在一起，并在它们之间插入定界符。在这里，我们:用作分隔符，并给它两个“文件”（进程替换）。第一个包含seq创建20个学生用户名的命令的输出，第二个包含创建20个长度为13的随机字符串的管道的输出。

如果您已经有一个带有用户名的文件：

#!/bin/bash

n=$(wc -l <usernames.txt)

paste -d : usernames.txt \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

这些会将密码和用户名保存到文件中，secret.txt而不是在终端中显示生成的密码。

echo是很可能内置在shell中的，因此不会ps作为单独的进程出现。

但是您不需要使用命令替换，您只需将管道的输出直接传递给chpasswd：

{  printf "%s:" "$username";
   head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo ''
} | chpasswd 

如果您希望一次运行更改多个密码chpasswd，那么重复重要部分应该很容易。或使其成为一个函数：

genpws() {
    for user in "$@"; do
        printf "%s:" "$user";
        head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13
        echo
    done
}
genpws username1 username2... | chpasswd 

顺便说head /dev/urandom一句：感觉有点奇怪，因为urandom它不是面向行的。它可能会从中读取过多的字节，这将影响内核的可用熵概念，从而可能导致/dev/random阻塞。只是读取固定数量的数据，并使用类似的base64方法将随机字节转换为可打印字符（而不是仅仅丢掉大约3/4的字节），这样可能会更清洁。

这样的事情会给你大约。16个字符和数字：

head -c 12 /dev/urandom | base64 | tr -dc A-Za-z0-9 

（也就是说，输出中的+和/字符的数量要少16个字符base64。每一个字符的可能性为1/32，因此，如果我正确使用了组合语言，则有99％的机会保留至少14个字符，并且99.99％的机会至少离开12。）