Seguridad del argumento del comando Bash

Hay varias maneras de pasar la contraseña al programa sin escribirla:

1. Use read y una variable

   read -s password ; ./prog --user 'User' --password "$password"
   

   Tendrá que escribir la contraseña antes de ejecutar el programa.

2. Usar redirección

   Ponga la contraseña en password.txt y ejecute el programa:

   ./prog --user 'User' --password 'cat password.txt'
   

Tenga en cuenta que incluso si esos métodos ocultan la contraseña durante la escritura, cualquiera que ejecute ps xua | grep prog podrá ver la contraseña de todos modos.

Si puede cambiar el programa para leer la contraseña desde stdin o leer una variable de entorno, sería más fácil ocultar la contraseña. En este caso, esos métodos funcionarían.

En la mayoría de los sistemas Unix, la línea de comandos es visible para todos los usuarios, a través del comando ps. Es posible que esto no importe mucho si se encuentra en un sistema de un solo usuario, pero esta es la razón por la que este enfoque generalmente se considera inseguro. Por ejemplo: manual de MySQL .

Una mejor alternativa es almacenar la contraseña en un archivo, lo que evita esta fuga. Debe asegurarse de que los permisos en el archivo son apropiados. El enlace que proporcioné explica cómo hacer esto para MySQL. Un montón de otro software soporta esto de alguna manera.

Haz que el programa lea la contraseña en sí.

Puede usar getpass (3) o similar si está desarrollando en un lenguaje de bajo nivel. Para una secuencia de comandos de shell puede usar lectura (ya que es un componente incorporado, no hay pérdidas en los argumentos de comando).

También tenga en cuenta que si pasa las credenciales de otro lugar (como ejecutar ese comando en un servidor web, rellenar el nombre de usuario y la contraseña de lo que fue pasado por un cliente), necesita una cotización adecuada, por ejemplo, una contraseña de '' whoami '' no resulta en la ejecución remota de código.