sécuriser un mdp dans un script shell

Daminou75 · Le 09/07/2007, à 09:47

salouté,

j'espère être dans la bonne section. Donc mon problème est le suivant...

En faite pour l'école et autres besoins j'ai fait quelques script shell et ma fois je m'aperçoie que des fois (lol) j'ai besoin du mot de passe root dans celui ci.

Donc j'aurai aimé savoir comment faire pour sécuriser ce mot de passe afin qu'il n'apparaisse pas en clair dans le script shell car pour moi c'est un manque de sécurité...

Merci d'avance

cduray · Le 09/07/2007, à 10:04

Hello

Si j'étais toi, je me pencherais du côté de "sudo". Tu peux définir qui peut exécuter quelle(s) application(s) en tant que root, avec ou sans mot de passe.

C

Daminou75 · Le 09/07/2007, à 13:09

salouté,

hummm je vais voir... Sinon une solution de cryptage non ?

cduray · Le 09/07/2007, à 13:16

Hmmmbof...

Je préfère dire "utilisateur A autorise l'utilisateur B à faire X sans mot de passe" (solution du sudo)

plutôt que "si l'utilisateur B a le mot de passe (en décryptant ou autre), l'autoriser à faire tout ce que A peut faire"

Pcq pour décrypter dans un script tu auras besoin d'une clé, mais comment sécuriser cette dernière alors?... (wash, rinse, repeat)

Link31 · Le 09/07/2007, à 14:44

Il ne faut jamais mettre un mot de passe utilisateur, crypté ou non, dans un fichier autre que /etc/shadow.

Tu peux lancer un script qui a besoin des droits root avec :
sudo ./script.sh

Une autre solution est de lui donner le rendre suid root :
sudo chown root script.sh
sudo chmod +xs script.sh
Ainsi tout le monde pourra le lancer sans indiquer de mot de passe, et le script prendra automatiquement les droits de son propriétaire (root).

Daminou75 · Le 09/07/2007, à 14:50

Salouté,

bon je vais donenr l'exemple d'un ptit script de sauvegarde donc le voici :

#!/bin/bash
#Variables
datedujour=`date +%d-%b-%y_%Hh%M`
passwd="mdp_root"
path_sortie="/home/dams/Backup_Sql/Backup_du_$datedujour.sql"
echo -ne "+--------{ Sauvegarde de toutes les bases sql en cour... }--------+\n"
echo -ne " Veuillez patienter... \n"
#sauvegarde de toutes les bases de donnees
mysqldump --user="root" --password="$passwd" --all-databases > $path_sortie
echo -ne "+--------{ Sauvegarde terminee le $datedujour }--------+\n"
sleep 1

donc ici on voit clairement que j'ai besoin du mot de passe root ou utilisateur qui a les droit opour utiliser mysqldump... donc link dans le cas de mon script, si je ne me trompe pas, en faisant ce que tu dis je ne pourrais avoir les droits de lancer l'utilitaire mysqldump...

Dernière modification par Daminou75 (Le 09/07/2007, à 14:53)

Link31 · Le 09/07/2007, à 15:05

Ce n'est pas un mot de passe utilisateur, c'est celui de MySQL... Pour ça, il faut mettre le mot de passe dans un fichier /root/.my.cnf, et enlever les paramètres user et password de la ligne de commande.

/root/.my.cnf

[mysqldump]
user = root
password = <secret>

Tu peux mettre ce fichier dans ton /home, mais le mettre dans /root apporte une sécurité supplémentaire. Il faudra donc lancer mysqldump en tant que root.

Dernière modification par Link31 (Le 09/07/2007, à 15:05)

Daminou75 · Le 09/07/2007, à 15:21

Salouté,

oui je sais que c'est le mdp mysql mais c'est bien justement un mot de passe dans un script lol c'est ça quie je veux pas.

et le fchier que tu dis "/root/.my.cnf" c'est une sorte de fonction où se trouverai par exemple chaque utilisateur et mdp pour chaque programe ? par exemple ici c'est pour mysqldump, comment le script sait où aller chercher le fichier "/root/.my.cnf" ?

(je pose beaucoup de question car j'aime bien savoir comment tout fonctionne )

Dernière modification par Daminou75 (Le 09/07/2007, à 15:23)

Link31 · Le 09/07/2007, à 15:24

C'est mysqldump qui va chercher ce fichier lui-même dans le répertoire utilisateur de l'utilisateur courant (root).

http://dev.mysql.com/doc/refman/5.0/fr/password-security.html

Dernière modification par Link31 (Le 09/07/2007, à 15:26)

Daminou75 · Le 09/07/2007, à 15:29

Salouté,

okiii merci.

Sinon pour les autres script j'ai juste à mettre comme proprio root et c'est régler non ? car plus haut tu disais en utilisant sudo mais pour de l'automatisation de tache c'est pas possible parcequ'il réclame le mdp root.

Link31 · Le 09/07/2007, à 15:50

Daminou75 a écrit :

mais pour de l'automatisation de tache c'est pas possible parcequ'il réclame le mdp root.

suid root

Dernière modification par Link31 (Le 09/07/2007, à 15:56)

Link31 · Le 09/07/2007, à 15:53

Dernière modification par Link31 (Le 09/07/2007, à 15:55)

Link31 · Le 09/07/2007, à 15:54

(serveur de m**)

Dernière modification par Link31 (Le 09/07/2007, à 15:56)

Largocity · Le 09/07/2007, à 16:11

Pour les dump de mysql. Le mieu est de creer un user backup, avec seulement les droits nécessaires plutot que d'utiliser le compte root.

Daminou75 · Le 10/07/2007, à 08:20

Salouté,

oui oki lardocity mais la question posé n'est pas celle ci ;-) mais merci de ta réponse

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 09/07/2007, à 09:47

sécuriser un mdp dans un script shell

#2 Le 09/07/2007, à 10:04

Re : sécuriser un mdp dans un script shell

#3 Le 09/07/2007, à 13:09

Re : sécuriser un mdp dans un script shell

#4 Le 09/07/2007, à 13:16

Re : sécuriser un mdp dans un script shell

#5 Le 09/07/2007, à 14:44

Re : sécuriser un mdp dans un script shell

#6 Le 09/07/2007, à 14:50

Re : sécuriser un mdp dans un script shell

#7 Le 09/07/2007, à 15:05

Re : sécuriser un mdp dans un script shell

#8 Le 09/07/2007, à 15:21

Re : sécuriser un mdp dans un script shell

#9 Le 09/07/2007, à 15:24

Re : sécuriser un mdp dans un script shell

#10 Le 09/07/2007, à 15:29

Re : sécuriser un mdp dans un script shell

#11 Le 09/07/2007, à 15:50

Re : sécuriser un mdp dans un script shell

#12 Le 09/07/2007, à 15:53

Re : sécuriser un mdp dans un script shell

#13 Le 09/07/2007, à 15:54

Re : sécuriser un mdp dans un script shell

#14 Le 09/07/2007, à 16:11

Re : sécuriser un mdp dans un script shell

#15 Le 10/07/2007, à 08:20

Re : sécuriser un mdp dans un script shell

Pied de page des forums