更多技术资料,请关注微信公众号“运维之美”
信息安全对于线上环境显得尤为重要,shell脚本的代码中可能经常会引用到密码等变量进行赋值等场景,但是在使用的过程中可能会导致环境的登录信息泄露,导致安全隐患,那么如何避免这种问题呢?本文从脚本中密码和文件的加密上来给出部分解决思路。
01 不使用明文密码
既然密码使用是场景需要,那么为了避免密码泄露,不使用明文密码,对密码进行加密处理是一种很好的方式。
base64加密用法
加密:echo "密码"|base64 -i
解密:echo "加过密的密码"|base64 -d
实例演示
[root@knode1 ~]# echo "test@123"|base64 #将密码通过base64加密变成加密密码
dGVzdEAxMjMK
[root@knode1 ~]# echo "dGVzdEAxMjMK"|base64 -d #使用过程中解密
test@123
通过上面的加解密过程,我们可以应用到shell脚本的使用过程中,通过加密来传递密码参数,在一定程度上防止了密码泄露的风险。
shell脚本中应用场景
#!/bin/bash
dst_dir=/opt/package
dst_ip=192.168.0.1
package=$1
PASSWD=`echo 'dGVzdEAxMjMK' |base64 -d`
echo "开始文件传输..........................."
/usr/bin/expect <<EOF
set timeout 3000 #设置文件传输超时时间
spawn scp -P 2202 -o StrictHostKeyChecking=no $package root@$dst_ip:$dst_dir
expect {
"*yes/no" { send "yes\r"; exp_continue }
"*password:" { send "$PASSWD\r" }
}
expect eof
EOF
echo "执行结束..............."
如上所示,在scp远程拷贝文件的场景中,密码交互通过加密方式替代明文密码的传递
02 shell脚本加密处理
base64其实是可以反向解密的,对于此问题,还可以通过对脚本文件进行加密处理,使用某种手段加密,让脚本文件其不可读但是可执行,极大的提高的安全性,这样即使获取了脚本文件,也无法查看脚本的具体内容,获取不到密码,ip地址等信息。
shc加密
它可以将 Shell 脚本编译为可执行的二进制文件。使用 shc,你可以将脚本加密并编译为一个可执行文件,然后在目标系统上直接执行该文件。
首先安装shc工具
yum -y install shc
2.准备shell脚本
3.将shell脚本加密
语法:shc -f script.sh -o script
[root@knode1 ~]# shc -f upload_file.sh -o upload_file
[root@knode1 ~]# ls -ltr upload_file*
-rwxr-xr-x 1 root root 464 7月 15 16:44 upload_file.sh
-rw-r--r-- 1 root root 19847 7月 15 16:49 upload_file.sh.x.c
-rwxrwxr-x 1 root root 11688 7月 15 16:49 upload_file
[root@knode1 ~]# more upload_file
******** upload_file: Not a text file ********
通过上面的方法,可以将脚本转换成upload_file二进制脚本,并且并不影响脚本的执行
upload_file.sh 是原始的未加密shell脚本,加密后可以直接删除,避免泄露
upload_file 是二进制格式的加密shell脚本
upload_file.x.c 是upload_file.sh文件的C源代码。编译该C源代码以创建上面的加密的upload_file文件。
4.执行效果
[root@knode1 ~]# ./upload_file testrw.dbf
开始文件传输...........................
spawn scp -P 22 -o StrictHostKeyChecking=no testrw.dbf root@10.200.18.101:/opt/package
root@10.200.18.101's password:
testrw.dbf 100% 160MB 143.9MB/s 00:01
执行结束...............
除了shc之外,还可以使用gzexe,upx等工具也可以达到类型的效果,感兴趣的小伙伴可以自己研究。
