Sicher übergeben Passwort für openssl über stdin

Wir wissen, wir können eine Datei verschlüsseln mit openssl mit diesem Befehl:

openssl aes-256-cbc -a -salt -in twitterpost.txt -out foo.enc -pass stdin

Wird das Paßwort von stdin Lesen. Als solche geben Sie das Kennwort im Voraus, alles, was wir tun müssen, ist voranzustellen

echo "someGoodPassword" |

zu den oben genannten Befehl. Meine Frage ist: Wie kann ich dies sicher? Die oben beschrieben Methode sieht nicht sicher genug.

Ich würde schätzen einige Kommentare über diese, so kann ich verstehen, dieses Problem besser.

InformationsquelleAutor Enchilada | 2011-06-12
  1. 18

    ziemlich jeder Mechanismus, die Sie verwenden werden snoopable von root, also halten Sie dieses im Verstand.

    Die echo-option, wird die Anzeige in der 'ps' listings, wodurch es anfällig für normale Benutzer-snooping und die Suche nach dem Passwort.

    Können Sie -pass file:filename eine Datei verwenden, so können Sie verwenden:

    sumask=$(umask)
umask 077
rm -f passfile
cat >passfile <<EOM
someGoodPassword
EOM
umask $sumask

    dieser erstellt die Datei nicht lesbar von anderen Konten (aber immer noch von root lesbar). Man geht davon aus, dass das Skript nur einmal zu erstellen, die passfile, als wenn Sie den Vorgang wiederholen, neigt Sie dazu, in einer Datei, und daher müssen Sie chmod go-rwx die Datei gelesen werden kann von anderen Benutzern.

    dann nutzen Sie:

    openssl aes-256-cbc -a -salt -in twitterpost.txt -out foo.enc -pass file:passfile

    durchführen der Verschlüsselung, durch den pre-Passwort-Datei.

    Andere Mechanismen -pass env:ENVVAR für die Verwendung einer Umgebungsvariable (wieder bekommen es ohne Offenlegung es ist der trick)

    • Also wenn ich einige software, mit der Benutzer geben Sie ein Kennwort in die UI, und dann schreibt er dieses Kennwort, um diese Datei (mit den entsprechenden Berechtigungen), und ruft dann diese terminal-Befehle, würden Sie sagen, dass ist sicher? In diesem Sinne: Wenn der computer kompromittiert wurde, durch eine 2. app, um das Passwort erhalten, dann hat der Benutzer einige ernsthafte Sicherheitsprobleme zu befürchten. Tatsächlich, es könnte eine software, die speziell entwickelt, um anzugreifen, meine eigene software 🙂 Was sind Ihre Gedanken dazu?
    • Das wäre relativ sicher, aber wenn es ist eine Anwendung speziell entwickelt, um Angriff Ihr Programm, dann sind alle Wetten ab - Wir können snoop die Tastatur, wie das Passwort eingegeben wird, können wir Lesen der I/O-wie in die Datei geschrieben wird, Lesen wir die Datei, Lesen wir Ihre Umgebung. Es ist praktisch kein Schutz ist 100% sicher - Sie können mit der 'Datei öffnen, heben Sie die Verknüpfung, aber halten Dateihandle öffnen und übergeben Sie das handle-around" - trick, so gibt es keine Spur von dem Passwort auf die Datei system (Verwendung fd:Anzahl als argument zu übergeben) die app mit der Benutzeroberfläche verwendet eine fd auch
    • Wenn dies Teil eines desktop-Anwendung in gnome, können Sie den gnome-keyring als sicherer Speicherort für das Passwort, da es verschlüsselt ist und in der Regel nicht zugegriffen werden, wenn der Benutzer nicht eingeloggt ist (KDE kwallet wenn ich mich Recht erinnere). Adobe AIR-Anwendungen haben eine Passwort-storage-Mechanismus wird auch (ich weiß nicht von AIR-Mechanismus zu sichern), sondern weil man mit shell-Skript, Idiome, erwarte ich, dass diese nicht wirklich eine option.
    • echo nicht zeigen, bis in ps listings, wie es ist ein built-in (zumindest in der bash)
    InformationsquelleAutor Petesh
  2. 15

    Kurze version

    Verwenden Sie eine named pipe.

    openssl aes-256-cbc -a -salt -in twitterpost.txt -out foo.enc -pass file:<( echo -n "someGoodPassword" )

    Lange version

    Verwenden Sie eine named pipe. Sie können es schaffen, in der bash mit

    <( *output* )

    z.B.

    <( echo -n "content" ) # without -n echo will add a newline

    Es öffnet sich eine named pipe, in der Regel eine FIFO-Warteschlange, und Sie sehen auf der Prozess-Liste so etwas wie

    /dev/fd/63

    Es lesbar nur durch den aktuellen Benutzer und wird automatisch geschlossen, nachdem es gelesen wurde, so dass Sie nicht haben, um sorgen über die Berechtigungen und das bereinigen der Datenträger (die Leitung schließen, wenn das Programm abstürzt, während eine Datei erstellt, indem Sie wie vorgeschlagen in einer anderen Antwort würde bleiben auf der Festplatte).

    Diese Weise wird es in der Nähe in der Schnellste Weg möglich ist, nur nach dem Befehl es zu Lesen und ohne zu warten, für ihn, seine Aufgabe zu beenden (ich habe gerade einen test: verschlüsseln einige Gigabyte und versuche zu Lesen der named pipe (es ist sichtbar in der Prozessliste): die named pipe schließt sofort, auch wenn openssl Alter nimmt zu verschlüsseln).

    Über deine Kommentare

    Wenn der computer kompromittiert wurde, durch eine 2. app zu erhalten, in diesem
    Passwort, dann hat der Benutzer einige ernsthafte Sicherheitsprobleme zu sorgen
    über. Tatsächlich, es könnte eine software, die speziell entwickelt, um
    Angriff meine eigene software

    Wenn Ihr computer gehackt wurde und der Angreifer hat die selben Benutzerrechte, Sie sind fertig für. Zum Beispiel kann der Angreifer problemlos Bearbeiten .bashrc alias openssl so dass es beginnt, ein hypotetic "böse-openssl", die kopieren Sie Ihr Passwort und die Daten vor der Verarbeitung alles, was der echte openssl, so dass Sie mit Ihrem falschen Gefühl der Sicherheit.

    Sagte, ich bin kein security-Experte, also wenn jemand will downvote mich in oblivion (und Sag mir, warum), du bist willkommen.

    InformationsquelleAutor Riccardo Galli
  3. 3

    Wenn ich verstehe richtig, Ihr Konzert über

    $ echo "someGoodPassword" | openssl (...) -pass stdin

    ist, dass das Passwort wird sichtbar sein in der Prozess-Liste, auf die alle Benutzer für einige kurze Zeit. Das kann leicht bearbeitet werden, um mit bash ist <<< Umleitung (funktioniert nicht in plain old POSIX-shell, obwohl):

    $ openssl (...) -pass stdin <<<"someGoodPassword"

    Dieses Konstrukt unterstützt variable interpolation (<<<"$password") und die Ausgabe des Befehls geleitet werden können weiter-oder umgeleitet, um die Datei wie gewohnt.

    InformationsquelleAutor firegurafiku
  4. 1

    Passwort in der bash oder anderen Skript-Datei, und stellen 600 Berechtigungen für Sie. Dass können nur Sie die Datei, und Kennwort wird nicht offenbart werden, überall.

    InformationsquelleAutor Nickolay Olshevsky
  5. 1

    Können Sie mehrere Methoden für den Durchgang durch das Passwort: https://www.openssl.org/docs/man1.0.2/apps/openssl.html#PASS-PHRASE-ARGUMENTS

    Wie @Petesh sagte, die root kann alles Lesen!

    Daher, wenn Sie sich das Passwort notieren, die in jedem gängigen(!) Datei, z.B.

    • in eine temporäre Datei, die mit jedem sicheren Berechtigung
    • oder in dem Skript, was macht Ihr echo trick in einer pipe

    den root Benutzer finden konnte, diesem!

    Nicht lieber alles, was über /proc (z.B. durch die ps)

    Also nicht verwenden...

    openssl aes-256-cbc ... -passin 'pass:someGoodPassword'

    oder

    PASSWORD='someGoodPassword'
openssl aes-256-cbc ... -passin 'env:PASSWORD'`

    Die beste Lösung

    • Vermeiden, die Speicherung von Passwörtern im Klartext auf Ihrem system (z.B. Passwort-manager)

    • Passieren Passwörter zu openssl via pipe/fifo:

      password_manager get_password | openssl aes-256-cbc ... -passin 'stdin'

      oder

      # https://stackoverflow.com/a/7082184/1108919
password_manager get_password >&3
openssl aes-256-cbc ... -passin 'fd:3'

      oder 

      openssl aes-256-cbc ... -passin "file:<(password_manager get_password)"
    InformationsquelleAutor andras.tim
Schreibe einen Kommentar