Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

ne pas laisser apparent un mot de passe

Guismo

Bonjour,

Je voudrais ne pas laisser apparent un mot de passe dans un script en bash voici l'exemple :

DB_PASS="nagios"

Alors comment faire pour que ce mot de passe "nagios" ne puisse pas apparaitre dans le script ou tout simplement comment sécuriser ce script?

Merci pour vos futurs intervention et vos pistes données 🙂

WW

Bonjour Guismo,

Le plus simple est de le demander en prompt interactif via, par exemple :

read -s DB_PASS

L'option -s pour silent permet de ne pas afficher les caractères à la saisie.

SInon il te faut l'enregistrer chiffré et le déchiffré, idéalement avec une paire de clé publique/privée dont tu es le seul à posséder l'exemplaire de la privée.

Cordialement

Guismo

Salut WW,

Merci de ton intervention
Yes c'est pas mal comme idée ça.

J'avais avec ma petite débrouille déclaré ma variable

DB_PASS=`cat /opt/save`

après avoir créé mon fichier save dans lequel j'ai noté le mot de passe puis ensuite j'ai fait un

chmod 100 /opt/save

pour ne donner aucun droits en lecture.

de plus le fichier est dans /opt donc je me suis dit qu'au niveau sécurité c'était bien non ?

J'ai fait des test on ne peut lire le passe, mais bon je ne suis pas un Linux Master donc...

Merci encore mais si il y à d'autre solution j'aimerais bien les connaître 🙂

DonutMan75

Hello,
après je ne sais pas à quoi sert ce mot de passe mais il est aussi sans doute possible de le remplacer par un jeu de clef publique / clef privée...
On peut ensuite ajouter une passphrase sur la clef publique, passphrase qui sera demandée dynamiquement lors de l'exécution du script.
Mais pour creuser cette voie, il faudrait savoir à quoi se connecte le script.

D.

N.B : cette solution est bien différente de celle proposée en #2 par WW puisque, dans ce cas là, on chiffre le mot de passe par un jeu de clef publique/privée (si j'ai bien compris)

Hizoka

Juste pour info :

DB_PASS=`cat /opt/save`

les ` sont dépréciés depuis longtemps.
Le cat est inutile, la bonne pratique serait plutôt :

DB_PASS=$(< /opt/save)

C'était juste histoire de dire... 😉

kamaris

Guismo a écritaprès avoir créé mon fichier save dans lequel j'ai noté le mot de passe puis ensuite j'ai fait un
chmod 100 /opt/save
pour ne donner aucun droits en lecture.

de plus le fichier est dans /opt donc je me suis dit qu'au niveau sécurité c'était bien non ?

Non, pas terrible, il n'y a pas vraiment de bonne solution en stockant sur disque je crois, il vaut mieux que tu fasses en interactif ou avec un système de clefs comme recommandé plus haut.
Par ailleurs :
- chmod 100 active le bit d'exécution sur ton fichier, ce qui est hors sujet. Tu peux mettre plutôt chmod 400 (de toutes façons, même si tu mets chmod 000, root pourra le lire).
- /opt n'est pas un endroit pour mettre ça, plutôt dans /root par exemple.

Guismo

Salut à toutes et à tous,

un grand merci à tout le monde pour vos interventions 🙂

Kamaris, j'ai suivi ton conseil et j'ai mi le fichier dans root pour un souci je dirais de "propreté" !

Hizoka, non tu as bien fait au contraire effectivement j'aurais due y penser

DonutMan75, mon script se connecte sur un serveur FTP j'utilise des commande lftp et sftp pour me connecté !

Bon bien en mettant ce mot de passe dans un fichier sur lequel n'est administré aucun droit cela fonctionne que root puisse le lire pour moi se n'est pas grave, tans qu'un utilisateur ne puisse pas le lire c'est le principal.

Voila si il n'y à pas d'autre astuce d'ici une quinzaine bien je mettrais ce sujet en résolu!