Contenu | Rechercher | Menus

Annonce

Ubuntu-fr vend de superbes t-shirts et de belles clés USB 32Go
Rendez-vous sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 15/03/2019, à 23:47

metalux

[Résolu]openssl + tar.gz + cron non conseillé: comment faire?

Bonsoir,
Selon le man:

man openssl a écrit :

pass:motdepasse
                 Le mot de passe utilisé est motdepasse. Comme le mot de passe
                 est visible à des utilitaires externes (tels que « ps » sous
                 Unix), cette forme ne devrait être employée que lorsque la
                 sécurité n'est pas importante.

Comment procéder pour créer une archive chiffrée avec cron, donc en renseignant le mot de passe dans la ligne de commande ou dans un fichier tout en conservant la sécurité?

Dernière modification par metalux (Le 18/03/2019, à 00:58)

Hors ligne

#2 Le 16/03/2019, à 00:08

Naziel

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

Bonsoir metalux,
J'ai trouvé https://unix.stackexchange.com/question … ms-in-bash et https://stackoverflow.com/questions/660 … parameters , là c'est un descripteur de fichier qui est utilisé à la place du mot de passe passé directement dans la ligne de commande. Ou un fichier tout simple avec des droits restreints peut-être.


[ poster correctement un retour de commande ] [ poster correctement une photo ]
Nouvel adhérent FDN
thinkpad x220, Thinkstation E32 modifié: i5-4570, GTX 1060 6 Gb, 16 Gb de RAM, ...
Pour reprendre le contrôle des semences: https://kokopelli-semences.fr/fr/

Hors ligne

#3 Le 16/03/2019, à 00:34

metalux

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

Je regarderai plus en détail les liens mais je les ai parcourus et si j'ai bien compris, il n' y a aucune méthode réellement sûre, ça évite cependant que le mot de passe apparaît avec la commande ps.

Naziel a écrit :

Ou un fichier tout simple avec des droits restreints peut-être

Sinon effectivement si sur le fichier je passe un coup de chmod 400 pour qu'il soit uniquement lu et un chown root:root, c'est la solution la plus simple. J'y ai bien pensé mais je suppose que le problème sera le même qu'en mettant directement le mot de passe dans la tâche cron.

Hors ligne

#4 Le 16/03/2019, à 08:47

bruno

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

Pourquoi ne pas chiffrer le fichier avec une paire de clés plutôt qu'un mot de passe ?

En ligne

#5 Le 16/03/2019, à 11:27

metalux

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

@bruno
Tout simplement parce que je ne sais pas faire et que je ne savais pas qu'on pouvais le faire. Aurais-tu un exemple?

Hors ligne

#6 Le 16/03/2019, à 14:03

bruno

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

Pour cela le mieux est d'utiliser gnupg (cf. point 4.1) plutôt qu openssl. L'idée est de créer une paire de clés spécifiques, sans mot de passe pour la clé privé afin de pouvoir chiffrer avec un script sans avoir à saisir de mot de passe.

En ligne

#7 Le 16/03/2019, à 17:01

LeoMajor

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

bonjour,
pour un cron, tu peux essayer un "file password", qui sera plombé par root (chown,chmod) par exemple

openssl rand -base64 1024 > /tmp/file_password
sVMfntDznt4KhjpnRkzxti8C18m/r8DFpsZuhu0NAV6VnAy32BxZq9lr2htj2hOx
....
qW62SoKJlVzsNJlXGkKhbg==

openssl enc -e -bf-cbc -in /tmp/bonjour -out /tmp/chiffre -pass file:/tmp/file_password -k secret -base64
openssl enc -d -bf-cbc -in /tmp/chiffre -out /tmp/dechiffre -pass file:/tmp/file_password -k secret -base64

Hors ligne

#8 Le 17/03/2019, à 14:34

metalux

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

@bruno
Merci, je regarderai dans les jours à venir. La solution de clefs asymétriques me semble effectivement ce qu'il y a de plus sûr, je chiffre avec la clef publique sur le PC A et je déchiffre sur le PC B avec la clef privée,  du coup le PC A ne détient pas de clefs pour déchiffrer. Ai-je tout compris? Si oui alors je pense retenir cette solution.
@LeoMajor
J'avais vu cette solution mais je n'étais pas sûr de moi quant à la sécurité.

Dernière modification par metalux (Le 17/03/2019, à 23:55)

Hors ligne

#9 Le 18/03/2019, à 00:57

metalux

Re : [Résolu]openssl + tar.gz + cron non conseillé: comment faire?

J'ai retenu la solution de Bruno, ça fonctionne nickel! smile
Et c'est la meilleure solution vu que l'archive est envoyé sur un autre PC à travers le "cloud", seul ce second PC peut déchiffrer l'archive avec sa clef privée. Je ne pas mis de mot de passe sur la clef privé comme tu me l'as conseillé bruno, cependant je pense qu'on peut quand même le faire, le chiffrement se faisant avec la clef publique ne nécessite pas de mot de passe. Le mot de passe sert à protéger la clef privée et n'est visiblement utilisé qu'au déchiffrement.
Merci à vous 3 pour votre participation et les pistes indiquées, et tout particulièrement bruno pour sa suggestion d'utiliser GPG à la place d'openssl.

Dernière modification par metalux (Le 18/03/2019, à 01:01)

Hors ligne