abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 16:22 | IT novinky

Spolkový úřad pro informační bezpečnost (Bundesamt für Sicherheit in der Informationstechnik) schválil používání softwarů Gpg4win a Gpg4KDE, tj. nadstaveb nad GnuPG, pro šifrování a přenos utajovaných informací stupně utajení Vyhrazené (VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)), EU RESTRICTED a NATO RESTRICTED [reddit].

Ladislav Hagara | Komentářů: 0
dnes 12:44 | Humor

Viceprezident společnosti Oracle Matthew O'Keefe napsal na Twitteru: "Kdyby databáze Oracle neexistovala, světová ekonomika by se zastavila. Kdyby většina open source distribuovaných databází neexistovala, byl by svět pro data mnohem bezpečnějším místem". Příspěvek rozpoutal diskusi nejenom na redditu a následně byl z Twitteru smazán (Wayback Machine).

Ladislav Hagara | Komentářů: 11
dnes 09:33 | Nová verze

Byla vydána nová verze 1.38 správce síťových připojení ConnMan (Wikipedie). Z novinek lze zdůraznit podporu WireGuardu.

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Zajímavý projekt

Byl spuštěn Humble Book Bundle: Cybersecurity 2020 by Wiley. Za 1 euro a více lze koupit 7 elektronických knih, za 7,50 eur a více lze koupit 13 elektronických knih a za 13,50 eur a více lze koupit 20 elektronických knih věnovaných kybernetické bezpečnosti od nakladatelství Wiley. Peníze lze libovolně rozdělit mezi nakladatelství Wiley, Humble Bundle, Electronic Frontier Foundation a Let's Encrypt.

Ladislav Hagara | Komentářů: 0
včera 21:55 | Zajímavý článek

Clear Linux je distribuce vyvíjená firmou Intel; vybočuje optimalizací na výkon, pročež se používá např. k běhu benchmarků, ale také pro vývojáře či do cloudu. Recenze na Ars Technica se zaobírá použitím Clear Linuxu jako uživatel: instalace, pozorování rychlosti spouštění Gimpu, správa balíčků a instalace Google Chrome nebo konfigurace OpenZFS. Praktické nasazení mimo specializace, kde je výkon kritický, nakonec nedoporučuje.

Fluttershy, yay! | Komentářů: 3
včera 21:44 | Nasazení Linuxu

Jižní Korea se z historických důvodů potýká se silnou závislostí na Microsoftu (konkrétně ActiveX), kterou se snaží postupně odbourat. Na jaře 2019 tamní ministerstvo vnitra oznámilo testování Linuxu na pracovních stanicích. Nyní, po skončení podpory Windows 7, byl přechod potvrzen s cílem omezit závislost na třetí straně a snížit náklady. Do roku 2026 je v plánu, že uživatelé budou používat notebooky s Windows, ale připojovat se na vzdálený linuxový desktop v cloudu. Některá ministerstva již Linux používají.

Fluttershy, yay! | Komentářů: 0
včera 16:44 | IT novinky

Vývojář webového prohlížeče Waterfox, forku Mozilla Firefox, veřejně oznámil dokončení přechodu projektu pod správu firmou System1, která na podzim 2019 zřejmě převzala také metavyhledávač Startpage. System1 se zabývá agregací a analýzou uživatelských dat za účelem využití v reklamě, proto např. web PrivacyTools již Startpage nedoporučuje.

Fluttershy, yay! | Komentářů: 11
včera 00:11 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 173. brněnský sraz, který proběhne v pátek 21. února od 18:00 v restauraci Suzie's Steakhouse Brno na adrese Kounicova 10.

Ladislav Hagara | Komentářů: 8
16.2. 16:33 | Nová verze

Byla vydána verze 2.0.0 aplikace pro digitální malování MyPaint (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
16.2. 16:11 | Zajímavý článek

Článek na blogu LibreTechTips představuje a srovnává webové vyhledávače: nejen známé Google, Bing, DuckDuckGo či Yandex, proxy Startpage a Ecosia, ale také nezávislý Mojeek, metavyhledávače Metager a Searx, švýcarský Swisscows a francouzský Qwant. Srovnání spočívá v pohledu na výsledky čtyř hledání a čtyř specifických dotazů jako překlad slova nebo převod jednotek. Nejlépe hodnocený je Searx následovaný Google a s velkým odstupem Bingem, DuckDuckGo, Startpage atd.

Fluttershy, yay! | Komentářů: 18
Vydržela vám novoroční předsevzetí?
 (9%)
 (6%)
 (3%)
 (82%)
Celkem 156 hlasů
 Komentářů: 0
Rozcestník

Heslo ve scriptu

11.7.2019 08:02 | Přečteno: 2343× | linux

Nedávno jsem řešil ukrytí hesla ve skriptu tak, aby nebilo do očí, když skript prohlížíte / upravujete, a někdo, koho nemůžete odehnat, vám stojí za zády.
REMOTE_PASS="mypass"

Nevypadá profesionálně, i když je to skript spouštěný automaticky ... Na starším systému jsem tento problém řešil nejprve sourcováním ( myslím, že se tomu tak říká ), ale po nějaké době jsem se rozhodl hesla ukrýt zašifrováním ...

Použil jsem jednorázově nějaký mdcrypt nebo co (google napověděl) a po dlouhé době, když nastal čas přesunout se na nový systém, jsem si pak nemohl vzpomenout, jak jsem to prováděl :).

Jak se dekóduje, to ve skriptu je, ale jak se kódovalo ? ... historie bashe moc nepomohla, nicméně najít mdcrypt pro Leap 15 se mi stejně nepovedlo, tak jsem se rozhodl na novém serveru jít na to od podlahy.

Trochu jsem pohledal na netu ( opravdu nejsem na úrovni, kdy sypu parametry na příkazovou řádku k čemukoliv z paměti ), co se dá v dnešní době použít, a nakonec jsem se rozhodl pro openssl.

Protože předchozí řešení bylo ad hoc, rozhodl jsem se nyní, že z toho udělám trochu použitelnější kód, abych po roce - dvou viděl, jak jsem postupoval, a mohl tohle znovu použít bez hodin googlení ...

V ~/bin jsem vytvořil složku "hesla". do složky jsem umístil skript, který heslo zašifruje. Protože jsem plánoval uložit takto více hesel, rozhodl jsem se heslům přidělit "realm" nebo jak to nazvat.

Každý realm by měl 2 soubory : náhodné heslo k zašifrování a samotné zašifrované heslo. Šel jsem na to takto :

#! /bin/bash

read -p "Realm : " realm

echo
heslo1="."
heslo2=","


while ! [ "$heslo" = "$heslo2" ]; do
	echo
	read -s -p "Heslo : " heslo
	echo
	read -s -p  'Heslo znovu : '  heslo2
	if ! [ "$heslo" = "$heslo2" ]; then
		echo " hesla nejsou stejná !! "
	fi
	echo
done 

echo "Vytvářím šifrovací heslo : " 
spice=`openssl rand 500 | tr -cd "[:print:]" | head -c 16` 

echo -n $spice > "$realm"_spice.pass

echo "Šifruju heslo"
encoded=`echo -n $heslo | openssl enc -aes-256-cbc -a -salt -pass pass:"$spice"`

echo -n "$encoded" > "$realm"_enc.pass
echo "Hotovo!"
Tento kód tedy vytvoří šifrovací heslo, zašifrované moje heslo a obě uloží do souborů s předponou názvu realmu. Jiný soubor zase poskytuje funkci, která vrátí heslo dešifrované :
function get_pw(){

	if [ -n "$1" ]; then
		realm="$1"
	else
		echo "bad realm"
                exit 1
	fi
	mypass=`cat $HOME/bin/hesla/"$realm"_spice.pass`
	eheslo=`cat $HOME/bin/hesla/"$realm"_enc.pass`
	echo $eheslo  | openssl enc -aes-256-cbc -a -d  -salt -pass pass:"$mypass"
	echo $heslo
}
Ve skriptu tedy sourcuji soubor s funkci, a pak získám heslo třeba k databází ( předtím vytvořený realm "database" ):
DB_PASS=get_pw "database" 

Ve skriptech moc neřeším kontroly, ostatně, jsou určeny pro omezené použítí, a pouze pro mně. Pokud si (náhodou) budete tuhle nadstavbu přizpůsobovat pro své účely ... je to na vás. Je možné, někdo z vás používá elegantnější metodu, já jsem lepší nevykoumal.

Toto řešení není obranou proti hackerům od Putina, jen elegantně ukryje heslo ve skriptu, aby nebilo do očí.

Dík za přečtení, snad toto řešení někomu ulehčí život..

Tak teď trhejte ! :-)

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

xkucf03 avatar 11.7.2019 10:14 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Heslo ve scriptu

OpenSSL mi hlásí varování:

$ echo ahoj | openssl enc -aes-256-cbc -a -salt -pass pass:heslo
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
U2FsdGVkX1/MmdqIhLBWQQxQ1RM1OguQlsQVjCxe5OU=

Lepší by tedy bylo použít:

$ echo ahoj | openssl enc -aes-256-cbc -a -pbkdf2 -pass pass:heslo
U2FsdGVkX1/MXOXIoTimxz/EwJpqshL6s/iGbm7aDWI=

Nicméně celé šifrování je tu trochu nadbytečné, když jsou zašifrovaná data i heslo v souborech hned vedle sebe. Když už, tak se dělá aspoň to, že zašifrovaná data jsou v souborech a heslo v databázi – nebo naopak – takže kdyby někdo ukradl zálohu jen souborů nebo jen databáze, k datům se nedostane, takže to trochu nějaký smysl má (byť je to pořád v podstatě security through obscurity).

Pokud by šlo jen o to „aby nebilo do očí, když skript prohlížíte / upravujete, a někdo, koho nemůžete odehnat, vám stojí za zády“ – tak na to stačí i kódování Base 64, není potřeba šifrovat.

Důležité je, aby byla hesla/klíče oddělená od programu/skriptu a nemohla se ani náhodou dostat do historie verzovacího systému.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
11.7.2019 11:48 Milan Uhrák | skóre: 29 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: Heslo ve scriptu
Hm, ssh mi tuto hlášku nehodilo, ale jistě je to dobrý posun vpřed ( opustit salt ).

Co se týče toho zašifrování, tak ano , na zamýšlený účel je to kanón na vrabce a na pořádné zabezpečení slabý půlkrok vpřed.

Ale touhle cestou jsem se dal, a došel jsem do cíle. Řešení se dá později uzpůsobit k různým vylepšením, což base64 už nenabízí.

Díky za ohlas ..

M.
11.7.2019 23:16 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu
Pojem security through obscurity se používá pro tři úplně odlišné věci:
1) místo toho abych to zabezpečil pořádně, tak to jen zobfuskuju.
- Tohle je samozřejmě fuj.
2) zabezpečím to a obfuskuju (nebo k tomu třeba aspoň nezveřejním zdrojáky).
- Může snižovat udržovatelnost
- Může snižovat šanci odhalit chyby, které tam přecejen omylem udělám - žádný program není bez chyb
- Ztěžuje automatické zneuití průniku, což v globálu vede ke zvyšování nákladů útočníka - pokud díky chybě v nějaké serverové komponentně ukradnu 10 000 všemožně zašifrovaných databází, je to fakt opruz i když ty klíče mám k dispozici.)
3) zabezpečit to nejde, tak to aspoň obfuskuju.
- Bezpečné to není
- Dokáže nechutně ztížit práci. Patří sem třeba ochrana proti kopírování programů, DRM, nebo viry. A v tom fakt není sranda se hrabat.
Jendа avatar 12.7.2019 15:14 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Heslo ve scriptu
3) má zajímavý důsledek že typicky znemožňuje adminovi který to nechce crackovat pochopit co na čem závisí a kudy jaká citlivá data tečou a na základě toho učinit správné rozhodnutí o zabezpečení. Celá ta Pass-The-Hash sága + toto vzniklo podle mě přesně z tohoto důvodu.
12.7.2019 17:01 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu
No... Já vidím problém v tom, že Microsoft napřed dal lidem iluzi alespoň nějaké bezpečnosti (a tím je přesvědčil že sdílet ten soubor s lidmi není naprosto nepřípustné), a pak to celé sabotoval tím že to heslo napsal na web.
Jendа avatar 12.7.2019 17:25 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Heslo ve scriptu
IMHO kdyby ho nenapsal na web tak to stejně za chvíli někdo reverzne. Viz třeba mimikatz.
12.7.2019 18:42 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu
Já bych to nepsal na web a do toho souboru napsal takové to klasické "nikomu tenhle soubor neposílejte". Jinak díky za tip na zajímavej SW.
12.7.2019 18:45 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu
Byť je teda otázka, jestli to někdo nezreverzí už týden po vydání, no..
Josef Kufner avatar 11.7.2019 20:27 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Heslo ve scriptu
Prostě to heslo dej do jiného souboru. Třeba do ~/.netrc. Nebo kamkoliv jinam. Tím také vyřešíš to, že to heslo necommitneš spolu se scriptem (pokud bys ho někam commitoval).
Hello world ! Segmentation fault (core dumped)
11.7.2019 22:45 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Heslo ve scriptu
A potřebuješ nutně heslo? Nemůžeš to vyřešit třeba přihlášením přes pubkey (pokud to je ssh)?
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
12.7.2019 11:16 Xerces
Rozbalit Rozbalit vše Re: Heslo ve scriptu
Hele pokud má mít skript přístup k nějakému zdroji a ty máš přístup ke skriptu, tak to je asi neřešitelný problém bych řekl. :-) Navrhoval bych znepřístupnit ten soubor všem kromě root uživatele daného serveru.
xsubway avatar 12.7.2019 11:35 xsubway | skóre: 13 | blog: litera_scripta_manet
Rozbalit Rozbalit vše Re: Heslo ve scriptu
To ale neřeší "čumili", tedy jen částečně :-)

Ty se totiž řeší jinak. Ale samozřejmě je vhodné oddělit kód a hesla.
12.7.2019 20:27 Milan Uhrák | skóre: 29 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: Heslo ve scriptu
Jasně ... takto není vidět heslo, ani když zkontroluji ( otevřu a mrknu se ) na obsah souborů s hesly a s čumilem za zády ...

Myslím, že zašifrování hesla tímto způsobem splňuje přesně to, co jsem chtěl a umožňuje případné rozšíření o různé skrývačky a vylepšení.

Ale nejsem v situaci, kdy by stálo za to komplikovat si toto dalšími labyrinty ... prozatím.

Díky za reakce

M.
15.7.2019 15:00 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Heslo ve scriptu
Jasně ... takto není vidět heslo, ani když zkontroluji ( otevřu a mrknu se ) na obsah souborů s hesly a s čumilem za zády ...
Proc by ses do toho souboru dival kdyz tam to heslo neuvidis ani ty? :-)
The enemy of my enemy is still my enemy.
16.7.2019 10:11 Milan Uhrák | skóre: 29 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: Heslo ve scriptu
to byl myšlen případ, kdy hesla vysourcuju v otevřeném textu do vedlejšího souboru...
17.7.2019 16:55 Gilhad | skóre: 20 | blog: gilhadoviny
Rozbalit Rozbalit vše Re: Heslo ve scriptu
Treba pokud mam takovych vic a vim, ze to je na tri ruzne stroje a u jednoho to zakodovane zacina AA u druheho to konci 222 a ten treti je proste divnej, tak mi jedno mrknuti staci, abych videl, zda paruju spravny stroj se spravnym heslem :)
21.7.2019 10:13 KS | skóre: 10 | blog: blg | Horní polní u západní dolní
Rozbalit Rozbalit vše Re: Heslo ve scriptu
Nebo dej heslo do proměnné prostředí. Tu proměnnou potom můžeš nastavovat ručně nebo nějakým wrapperem.
Pochybnost, nejistota - základ poznání

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.