Linux 作業手順書からべた書きパスワードをなくすシンプルなアイディア - Qiita

※ 2018/07/21 追記。 お読みいただきましてありがとうございます！ すみません、実はタイトルの割には「現在回しているイケてない運用をちょっとした工夫でサクッと改善する」ことを主眼としており、セキュリティのベストプラクティスではありません。。。 本稿の例で挙げているコマンドのリスクにつきましては、 注意 の項を追加しましたのでご参照ください。 公開当初は「10いいねくらいもらえたら嬉しいなー」と思っていた程度だったのですが、まさかここまでたくさんの方に読んでいただけるとは。。。 もっと内容を精査しておくべきだったと反省しております。。。 いいねやコメント等反応頂けるのはとても励みになります。ありがとうございます！ TL;DR 怖いですよね、セキュリティインシデント。 インフラ系でお仕事をしていると、 Linux にログインして操作する手順書を作る事が多くなります。手順書の中には認証

[uunfo]

手順書にパスワードを載せないという話だと思って読んだら、コマンドにパスワードを含めないという話だった。タイトル詐欺／便利そうなのでシェルスクリプトで使おうとは思う／変数にパスワード残るのはどうなの？

[punychan]

TL;DRになってない。本文は参考になる。bash限定なので他の環境では工夫が必要かな。

[new3]

わりと良くあるバッドノウハウ。セキュリティ的には何の解決にもなってない。どうするべきかはこのブログが詳しい https://www.netmeister.org/blog/passing-passwords.html /追記:最近ならpass使うのが良いかもしれない

[xjack]

いや，そもそもcurl使ってることが原因だろー．wgetとかインタラクティブにパスワード聞いてくるコマンド使えよ．

[mullen]

TL;DRは3行にしてほしい

[tettekete37564]

あんまこういう必要性がある場面ないなー。ヒストリが読めるのがだめなら秘密鍵を持たせるのもダメなのかな

[nilab]

.bash_history や ps コマンドでパスワードが見えてしまう問題

[nabeop]

read -sp で安全に環境変数に入れるのか。手順書にするなら、最後に unset してお片づけまでセットにしておきたい

[tmatsuu]

readの引数-sp知らなかった

[lmzb]

sudo しましょう

[ya--mada]

tldrになってないツッコミあった。うん、バカ対策で困ってる勢は多いか。

[Wacky]

“read コマンドを利用すれば解決できます。”

[imash]

生体認証にしよう

[R2M]

ブコメ

[verda]

手順書が盗み見られるような状況の時点で手遅れ感

[tonchix]

作業手順書をなくせば解決するじゃない

[kathew]

変数の後始末にはご用心って感じね

[hate1229]

んで手順書自体からパスワードの記述なくすにはどうしたらいいんだ？？

[snowcrush]

環境変数にPW入れるのもあんまよくないように思うけど…。

[suzuki84g]

ここまで考えた事なかったなぁ…。

[bottomzlife]

ほえええ？　ちょ、ちょっと待って。.bash_history 気にするくらいなら、なんでpsコマンドでパスワード丸見えになっちゃうこと気にしないの？　意味なくない？

[yarumato]

“read コマンドを利用すれば .bash_history にパスワード情報が残らない”

[iww]

割と良い感じ

[UDONCHAN]

他にもいろいろ方法はありあそうだけれども、これはこれで

[pixmap]

役に立つ場面も多そうだけど、これはこれで、手順にあるシェルスクリプトに「いたずら」されたりすると怖いなぁ、と思ったり。

[from_kyushu]

まずshell script化して手順を簡略化する。パスワードについても当該script内でreadして適時変数をクリアするようにすれば大体解決。

[msfwa1015]

アイデアの一つとして

[atsushifx]

Linuxなんだし、こういったパスワードを外部から引っ張ってきて入力するツールが作れそうなんだけど。外部パスワードへのアクセスにはsshや記事のreadでセキュリティを確保するとして

[PEEE]

パスワード格納した変数を使用後クリアしたほうがよさそうね

[kojiro-s]

/etc/environmentで環境変数にいれちゃえば？

[janomeS]

、