[Résolu]openssl + tar.gz + cron non conseillé: comment faire?

metalux · Le 15/03/2019, à 23:47

Bonsoir,
Selon le man:

man openssl a écrit :

pass:motdepasse
Le mot de passe utilisé est motdepasse. Comme le mot de passe
est visible à des utilitaires externes (tels que « ps » sous
Unix), cette forme ne devrait être employée que lorsque la
sécurité n'est pas importante.

Comment procéder pour créer une archive chiffrée avec cron, donc en renseignant le mot de passe dans la ligne de commande ou dans un fichier tout en conservant la sécurité?

Dernière modification par metalux (Le 18/03/2019, à 00:58)

Nuliel · Le 16/03/2019, à 00:08

Bonsoir metalux,
J'ai trouvé https://unix.stackexchange.com/question … ms-in-bash et https://stackoverflow.com/questions/660 … parameters , là c'est un descripteur de fichier qui est utilisé à la place du mot de passe passé directement dans la ligne de commande. Ou un fichier tout simple avec des droits restreints peut-être.

metalux · Le 16/03/2019, à 00:34

Je regarderai plus en détail les liens mais je les ai parcourus et si j'ai bien compris, il n' y a aucune méthode réellement sûre, ça évite cependant que le mot de passe apparaît avec la commande ps.

Naziel a écrit :

Ou un fichier tout simple avec des droits restreints peut-être

Sinon effectivement si sur le fichier je passe un coup de chmod 400 pour qu'il soit uniquement lu et un chown root:root, c'est la solution la plus simple. J'y ai bien pensé mais je suppose que le problème sera le même qu'en mettant directement le mot de passe dans la tâche cron.

bruno · Le 16/03/2019, à 08:47

Pourquoi ne pas chiffrer le fichier avec une paire de clés plutôt qu'un mot de passe ?

metalux · Le 16/03/2019, à 11:27

@bruno
Tout simplement parce que je ne sais pas faire et que je ne savais pas qu'on pouvais le faire. Aurais-tu un exemple?

bruno · Le 16/03/2019, à 14:03

Pour cela le mieux est d'utiliser gnupg (cf. point 4.1) plutôt qu openssl. L'idée est de créer une paire de clés spécifiques, sans mot de passe pour la clé privé afin de pouvoir chiffrer avec un script sans avoir à saisir de mot de passe.

LeoMajor · Le 16/03/2019, à 17:01

bonjour,
pour un cron, tu peux essayer un "file password", qui sera plombé par root (chown,chmod) par exemple

openssl rand -base64 1024 > /tmp/file_password
sVMfntDznt4KhjpnRkzxti8C18m/r8DFpsZuhu0NAV6VnAy32BxZq9lr2htj2hOx
....
qW62SoKJlVzsNJlXGkKhbg==

openssl enc -e -bf-cbc -in /tmp/bonjour -out /tmp/chiffre -pass file:/tmp/file_password -k secret -base64
openssl enc -d -bf-cbc -in /tmp/chiffre -out /tmp/dechiffre -pass file:/tmp/file_password -k secret -base64

metalux · Le 17/03/2019, à 14:34

@bruno
Merci, je regarderai dans les jours à venir. La solution de clefs asymétriques me semble effectivement ce qu'il y a de plus sûr, je chiffre avec la clef publique sur le PC A et je déchiffre sur le PC B avec la clef privée, du coup le PC A ne détient pas de clefs pour déchiffrer. Ai-je tout compris? Si oui alors je pense retenir cette solution.
@LeoMajor
J'avais vu cette solution mais je n'étais pas sûr de moi quant à la sécurité.

Dernière modification par metalux (Le 17/03/2019, à 23:55)

metalux · Le 18/03/2019, à 00:57

J'ai retenu la solution de Bruno, ça fonctionne nickel!
Et c'est la meilleure solution vu que l'archive est envoyé sur un autre PC à travers le "cloud", seul ce second PC peut déchiffrer l'archive avec sa clef privée. Je ne pas mis de mot de passe sur la clef privé comme tu me l'as conseillé bruno, cependant je pense qu'on peut quand même le faire, le chiffrement se faisant avec la clef publique ne nécessite pas de mot de passe. Le mot de passe sert à protéger la clef privée et n'est visiblement utilisé qu'au déchiffrement.
Merci à vous 3 pour votre participation et les pistes indiquées, et tout particulièrement bruno pour sa suggestion d'utiliser GPG à la place d'openssl.

Dernière modification par metalux (Le 18/03/2019, à 01:01)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 15/03/2019, à 23:47

[Résolu]openssl + tar.gz + cron non conseillé: comment faire?

#2 Le 16/03/2019, à 00:08

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

#3 Le 16/03/2019, à 00:34

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

#4 Le 16/03/2019, à 08:47

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

#5 Le 16/03/2019, à 11:27

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

#6 Le 16/03/2019, à 14:03

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

#7 Le 16/03/2019, à 17:01

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

#8 Le 17/03/2019, à 14:34

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

#9 Le 18/03/2019, à 00:57

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

Pied de page des forums