É seguro usar o eco para passar dados confidenciais para o chpasswd?

Estou tentando definir em massa algumas senhas de contas de usuário usando chpasswd. As senhas devem ser geradas aleatoriamente e impressas stdout(preciso anotá-las ou colocá-las em um armazenamento de senhas) e também passadas para chpasswd.

Ingenuamente, eu faria isso assim

{
  echo student1:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
  echo student2:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
} | tee >(chpasswd)

No entanto, me preocupo em passar a nova senha como um argumento de linha de comando para echo, porque os argumentos geralmente são visíveis para outros usuários ps -aux(embora eu nunca tenha visto nenhuma echolinha aparecer ps).

Existe uma maneira alternativa de acrescentar um valor à minha senha retornada e passá-la para chpasswd?

Seu código deve ser seguro, pois echonão será exibido na tabela de processos, pois é um shell interno.

Aqui está uma solução alternativa:

#!/bin/bash

n=20
paste -d : <( seq -f 'student%.0f' 1 "$n" ) \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Isso cria os nomes e as senhas ndos alunos , sem passar nenhuma senha em qualquer linha de comando de nenhum comando.

O pasteutilitário cola vários arquivos como colunas e insere um delimitador entre eles. Aqui, usamos :como delimitador e atribuímos dois "arquivos" (substituições de processo). O primeiro contém a saída de um seqcomando que cria 20 nomes de usuário de alunos e o segundo contém a saída de um pipeline que cria 20 seqüências aleatórias de comprimento 13.

Se você possui um arquivo com nomes de usuário já gerados:

#!/bin/bash

n=$(wc -l <usernames.txt)

paste -d : usernames.txt \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Isso salvará as senhas e nomes de usuários no arquivo, em secret.txtvez de mostrar as senhas geradas no terminal.

echoprovavelmente está embutido no shell, portanto, não apareceria pscomo um processo separado.

Mas você não precisa usar a substituição de comando, basta obter a saída do pipeline diretamente para chpasswd:

{  printf "%s:" "$username";
   head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo ''
} | chpasswd 

Se você deseja alterar várias senhas com apenas uma execução chpasswd, deve ser fácil repetir as partes essenciais. Ou transformá-lo em uma função:

genpws() {
    for user in "$@"; do
        printf "%s:" "$user";
        head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13
        echo
    done
}
genpws username1 username2... | chpasswd 

Como um aparte: isso head /dev/urandomparece um pouco estranho, pois urandomnão é orientado a linhas. Ele pode ler quantidades excessivas de bytes, o que afetará a noção de entropia disponível do kernel, o que, por sua vez, pode levar ao /dev/randombloqueio. Pode ser mais fácil ler apenas uma quantidade fixa de dados e usar algo como base64converter os bytes aleatórios em caracteres imprimíveis (em vez de apenas jogar fora cerca de 3/4 dos bytes obtidos).

Algo assim daria a você aprox. 16 caracteres e números:

head -c 12 /dev/urandom | base64 | tr -dc A-Za-z0-9 

(ou seja, 16 menos a quantidade de +e /caracteres na saída de base64. A chance de qualquer um é 1/32 por caractere; portanto, se eu acertar minhas combinações, isso dará uma chance de 99% de deixar pelo menos 14 caracteres e uma chance de 99,99% de deixar pelo menos 12.)