openssl + tar.gz + cron non conseillé: comment faire?

metalux · 15 mars 2019

Bonsoir,
Selon le man:

man openssl a écritpass:motdepasse
Le mot de passe utilisé est motdepasse. Comme le mot de passe
est visible à des utilitaires externes (tels que « ps » sous
Unix), cette forme ne devrait être employée que lorsque la
sécurité n'est pas importante.

Comment procéder pour créer une archive chiffrée avec cron, donc en renseignant le mot de passe dans la ligne de commande ou dans un fichier tout en conservant la sécurité?

Nuliel · 15 mars 2019

Bonsoir metalux,
J'ai trouvé https://unix.stackexchange.com/questions/29111/safe-way-to-pass-password-for-1-programs-in-bash et https://stackoverflow.com/questions/6607675/shell-script-password-security-of-command-line-parameters , là c'est un descripteur de fichier qui est utilisé à la place du mot de passe passé directement dans la ligne de commande. Ou un fichier tout simple avec des droits restreints peut-être.

metalux · 15 mars 2019

Je regarderai plus en détail les liens mais je les ai parcourus et si j'ai bien compris, il n' y a aucune méthode réellement sûre, ça évite cependant que le mot de passe apparaît avec la commande ps.

Naziel a écritOu un fichier tout simple avec des droits restreints peut-être

Sinon effectivement si sur le fichier je passe un coup de chmod 400 pour qu'il soit uniquement lu et un chown root:root, c'est la solution la plus simple. J'y ai bien pensé mais je suppose que le problème sera le même qu'en mettant directement le mot de passe dans la tâche cron.

Bbruno · 16 mars 2019

Pourquoi ne pas chiffrer le fichier avec une paire de clés plutôt qu'un mot de passe ?

metalux · 16 mars 2019

@bruno
Tout simplement parce que je ne sais pas faire et que je ne savais pas qu'on pouvais le faire. Aurais-tu un exemple?

Bbruno · 16 mars 2019

Pour cela le mieux est d'utiliser [doc]gnupg[/doc] (cf. point 4.1) plutôt qu openssl. L'idée est de créer une paire de clés spécifiques, sans mot de passe pour la clé privé afin de pouvoir chiffrer avec un script sans avoir à saisir de mot de passe.

LLeoMajor · 16 mars 2019

bonjour,
pour un cron, tu peux essayer un "file password", qui sera plombé par root (chown,chmod) par exemple

openssl rand -base64 1024 > /tmp/file_password
sVMfntDznt4KhjpnRkzxti8C18m/r8DFpsZuhu0NAV6VnAy32BxZq9lr2htj2hOx
....
qW62SoKJlVzsNJlXGkKhbg==

openssl enc -e -bf-cbc -in /tmp/bonjour -out /tmp/chiffre -pass file:/tmp/file_password -k secret -base64
openssl enc -d -bf-cbc -in /tmp/chiffre -out /tmp/dechiffre -pass file:/tmp/file_password -k secret -base64

metalux · 17 mars 2019

@bruno
Merci, je regarderai dans les jours à venir. La solution de clefs asymétriques me semble effectivement ce qu'il y a de plus sûr, je chiffre avec la clef publique sur le PC A et je déchiffre sur le PC B avec la clef privée, du coup le PC A ne détient pas de clefs pour déchiffrer. Ai-je tout compris? Si oui alors je pense retenir cette solution.
@LeoMajor
J'avais vu cette solution mais je n'étais pas sûr de moi quant à la sécurité.

metalux · 17 mars 2019

J'ai retenu la solution de Bruno, ça fonctionne nickel!

Et c'est la meilleure solution vu que l'archive est envoyé sur un autre PC à travers le "cloud", seul ce second PC peut déchiffrer l'archive avec sa clef privée. Je ne pas mis de mot de passe sur la clef privé comme tu me l'as conseillé bruno, cependant je pense qu'on peut quand même le faire, le chiffrement se faisant avec la clef publique ne nécessite pas de mot de passe. Le mot de passe sert à protéger la clef privée et n'est visiblement utilisé qu'au déchiffrement.
Merci à vous 3 pour votre participation et les pistes indiquées, et tout particulièrement bruno pour sa suggestion d'utiliser GPG à la place d'openssl.