¿Cómo almacenar de forma segura las credenciales en una variable de bash?

0

Necesito guardar en caché mis credenciales de usuario en una variable de script de shell, ya que son necesarias para múltiples solicitudes a una API REST. No se almacenará en el propio archivo de script de bash: se le solicitará al usuario que ingrese las credenciales, que se reutilizarán a lo largo de la ejecución del script.

¿Cuál es la mejor manera de almacenarlos para que ningún otro proceso sin privilegios pueda leer esas variables?

    
pregunta Thomas R 07.02.2017 - 10:03
fuente

1 respuesta

3

El almacenamiento de credenciales en texto sin formato siempre es un caso difícil, depende de cada caso. La regla principal es: nunca almacene la contraseña dentro del script.

Si el script se ejecutará solo de forma manual (alguien que lo ejecute), no almacene la contraseña en el script, en cambio, haga que el script solicite la contraseña cada vez que se ejecuta.

Si el script se ejecutará automáticamente:

  • Cree un usuario específico para el propósito que necesita. Asegúrese de que el usuario tenga los permisos mínimos posibles. Asegúrese de que el usuario no tenga acceso a ningún otro archivo y no tenga permiso para ejecutar otra cosa que no sea el script que necesita.
  • Cree un archivo que contenga la contraseña y haga que el script se lea de este archivo. Asegúrese de que este archivo de contraseña no pueda leerse de nadie más.
  • ¿Las contraseñas son la única forma de autenticarse? Algunas aplicaciones admiten claves privadas / públicas. Si puedes, úsalo. Asegúrese de que la clave privada sea segura.
  • Tenga en cuenta que las posibilidades de que esas credenciales se comprometan se incrementan solo por el hecho de que las haya almacenado. Teniendo eso en cuenta, planee acciones de mitigación, por ejemplo, asegúrese de que la cuenta tenga los permisos mínimos posibles, asegúrese de que la cuenta solo pueda iniciar sesión desde un servidor específico, implemente una herramienta de supervisión de registros (o un SIEM) para recibir alertas cuando esta cuenta se utiliza.

Hay un muy buen artículo sobre el intercambio de pila de Unix sobre este tema , le recomiendo que lo revise antes de implementar cualquier script con contraseñas.

    
respondido por el Ricardo Reimao 07.02.2017 - 10:45
fuente

Lea otras preguntas en las etiquetas