どんなサービス?特定のサービスには、SSHエージェントと組み合わせたSSH用のSSHキーなど、他の認証方法があります。
パスワードをスクリプトとは別に保存し、すべてのパスコンポーネントに正しいアクセス許可が設定されていることを確認します。たとえば、パスにいることを確認し/path/to/file
、/
、/path
と/path/to
あなたは(信頼ユーザーが所有しているroot
)、これらはあなたのファイルを見ることが許可されていない誰かによって書き込み可能ではないこと。最後に、推奨されるアクセス許可file
は600または400です。
次のfile
ようになります。
PASSWORD='something that you cannot remember'
スクリプトで、以下のコードを使用して変数をインポートします。
. /path/to/file
スクリプトについては、攻撃者がスクリプトコンテキストでコードを実行できるような穴が含まれていないことを確認してください(例:任意の$PATH
変数セットや他のファイルの無効な使用を含む制御されていない環境(例:書き込み可能なファイルのソース) 。
パスワードの実際の保護に関しては、できません。他のサービスが何らかの形で利用できる必要があります。openssl
またはgpg
、資格情報のロックを解除する前にパスワードを入力する必要があるので、パスワードを含むファイル/スクリプトを暗号化できます。これは、サービスのパスワードが覚えにくい場合に特に役立ちます。