¿Es seguro usar echo para pasar datos confidenciales a chpasswd?

Estoy tratando de configurar en masa algunas contraseñas de cuentas de usuario usando chpasswd. Las contraseñas deben generarse al azar e imprimirse en stdout(necesito escribirlas o guardarlas en un almacén de contraseñas), y también pasarlas chpasswd.

Ingenuamente, haría esto así

{
  echo student1:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
  echo student2:$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo '')
} | tee >(chpasswd)

Sin embargo, me preocupa pasarle la nueva contraseña como argumento de la línea de comandos echo, porque los argumentos generalmente son visibles para otros usuarios ps -aux(aunque nunca vi echoaparecer ninguna línea ps).

¿Hay alguna forma alternativa de anteponer un valor a mi contraseña devuelta y luego pasarla chpasswd?

Su código debe ser seguro, ya echoque no aparecerá en la tabla de procesos, ya que es un shell incorporado.

Aquí hay una solución alternativa:

#!/bin/bash

n=20
paste -d : <( seq -f 'student%.0f' 1 "$n" ) \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Esto crea los nombres y las contraseñas de sus alumnos n, sin pasar ninguna contraseña en ninguna línea de comando de ningún comando.

La pasteutilidad une varios archivos como columnas e inserta un delimitador entre ellos. Aquí, usamos :como delimitador y le damos dos "archivos" (sustituciones de proceso). El primero contiene la salida de un seqcomando que crea 20 nombres de usuario de estudiantes, y el segundo contiene la salida de una tubería que crea 20 cadenas aleatorias de longitud 13.

Si tiene un archivo con nombres de usuario ya generados:

#!/bin/bash

n=$(wc -l <usernames.txt)

paste -d : usernames.txt \
           <( tr -cd 'A-Za-z0-9' </dev/urandom | fold -w 13 | head -n "$n" ) |
tee secret.txt | chpasswd

Estos guardarán las contraseñas y los nombres de usuario en el archivo en secret.txtlugar de mostrar las contraseñas generadas en el terminal.

echoes muy probable que esté integrado en el shell, por lo que no aparecerá pscomo un proceso separado.

Pero no necesita usar la sustitución de comandos, solo puede tener la salida de la tubería directamente a chpasswd:

{  printf "%s:" "$username";
   head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13 ; echo ''
} | chpasswd 

Si desea cambiar varias contraseñas con una sola ejecución chpasswd, debería ser fácil repetir las partes esenciales. O conviértalo en una función:

genpws() {
    for user in "$@"; do
        printf "%s:" "$user";
        head /dev/urandom | tr -dc A-Za-z0-9 | head -c 13
        echo
    done
}
genpws username1 username2... | chpasswd 

Como comentario: eso se head /dev/urandomsiente un poco extraño ya urandomque no está orientado a líneas. Puede leer cantidades excesivas de bytes, lo que afectará la noción del núcleo de entropía disponible, lo que a su vez puede conducir al /dev/randombloqueo. Puede ser más limpio simplemente leer una cantidad fija de datos y usar algo como base64convertir los bytes aleatorios en caracteres imprimibles (en lugar de simplemente tirar alrededor de 3/4 de los bytes que obtienes).

Algo como esto te daría aprox. 16 caracteres y números:

head -c 12 /dev/urandom | base64 | tr -dc A-Za-z0-9 

(es decir, 16 menos la cantidad +y /caracteres en la salida de base64. La posibilidad de cualquiera de ellos es 1/32 por carácter, así que si acerté mi combinatoria, eso da un 99% de posibilidades de dejar al menos 14 caracteres, y un 99.99% de posibilidades de dejar al menos 12.)