避免硬编码的陷阱,选择sshpass更为安全可靠。
译自 Linux: Hide Your Shell Passwords with sshpass,作者 Jack Wallen。
在你与Linux的交互中的某个时刻,你将会编写一个 shell 脚本,不管是 Bash 还是其他。它可能只是一行代码,也可能是你曾经编写的任何程序一样复杂。无论如何,它们都有助于使Linux成为地球上最灵活和强大的操作系统。
当你深入研究Linux中的 shell 脚本时,你可能会遇到一种情况,即你需要在脚本中包含一个密码。当这种情况发生时,你肯定不希望将密码硬编码到脚本中。
或者,如果最终需要输入密码,你就无法自动化脚本。任何能够访问你的计算机的人都可以查看该脚本,然后访问与该密码相关联的任何账户。此外,该脚本的 cron 作业将失败。
例如,你可能创建一个备份脚本,该脚本使用 rsync 通过网络传输并需要用户密码以确保安全性。比如,你有一个存储特定信息的 /data 目录,你需要定期备份。你已经设置好了所有必要的权限,剩下的就是创建一个备份,将内容保存到远程机器。
这样的脚本可能如下所示:
#!/bin/bash
rsync -av /data USER@SERVER:/home/USER/databackup其中 USER 是远程用户名,SERVER 是远程服务器的IP地址或域名。运行脚本时,你将会被提示输入密码。
那么,如何解决这种情况呢?
应用程序sshpass专为实现密码自动化而创建。这个非交互式工具使得能够自动化shell脚本,即使它们需要密码。
让我演示一下它是如何工作的...
要使用sshpass,你需要一个正在运行的Linux发行版。我将演示在Ubuntu Server 22.04上的操作,但该应用程序也可以安装在基于Fedora的发行版上。你还需要一个具有sudo权限的用户。
要在基于Ubuntu的发行版上安装sshpass,请打开终端窗口并执行以下命令:
sudo apt-get install sshpass -y对于基于Fedora的发行版,该命令将是:
sudo dnf install sshpass -y安装工作就完成了。
我们将继续使用我们的备份脚本想法。首先,我们必须创建一个加密文件来保存我们的密码。使用以下命令创建文件:
nano ~/.password你可以随意命名该文件,但我建议在文件名的开头使用一个点,使其成为隐藏文件。
在文件中添加用于shell脚本中的账户的密码,并使用Ctrl-x键盘快捷键保存。
使用以下命令加密文件:
gpg -c ~/.password系统将提示你输入和验证加密密码。
以上命令将创建一个新文件,名为.password.gpg,其中包含密码的加密版本。然后你可以删除~/.password文件。
记住,我们还是继续使用我们的简单备份脚本。首先,我将演示如何使用sshpass命令简单传递密码(以便你了解它的工作原理)。例如,一个需要用户验证的rsync备份命令看起来像这样:
sshpass -p "PASSWORD" rsync -av /data USER@SERVER:/home/USER/databackup其中PASSWORD是远程用户密码,USER是远程用户名,SERVER是远程服务器的IP地址或域名。sshpass应用程序将把密码传递给rsync命令,一切都应该如预期般工作。
当然,你不想硬编码密码,对吧?为了避免这种情况,你需要在脚本中加入一些创意,下面是它的样子:
#!/bin/bash
gpg -d -q ~/.password.gpg | sshpass rsync -av /data USER@SERVER:/home/USER/databackups其中USER是远程用户名,SERVER是远程服务器的IP地址或域名。
在这里,我们首先解密.password.gpg文件,并将其输出发送到sshpass,然后由rsync用于连接到远程服务器进行备份。
这有点棘手但是它能够正常工作。
借助sshpass的帮助,你可以创建能够使用加密密码的Shell脚本,将其传递给脚本内的sshpass,而无需硬编码密码或与脚本交互。
通过这样做,你在系统上增加了一层安全性,同时也使得可以创建自动化脚本来执行几乎任何你需要的任务。