Python: Passwörter händeln

[schmidtl_dd]

Hi

Die Frage ist eher allgemeiner Natur und nicht wirklich Python spezifisch.

Ich habe ein Script, welches sich via ssh mit mehreren Servern verbindet, dort Kommandos ausführt und die Ausgaben sammelt. So weit so schön.

Allerdigs stehen im Moment die Passwörter noch im Script, das ist ziemlich häßlich.

Die Methode Public/Private Key fällt aus, darf ich auf den Servern nicht. Die Passwörter interaktiv von dem Script erfragen zu lassen ist mir zu umständlich.

Nun die Frage, wie kann ich die Passwörter in einer Datei verschlüsseln, aus welcher sie das Script ausließt? Dazu könnte ich vom Script interaktiv ein "Masterpasswort" welches als Schlüssel für die Datei dient, abfragen lassen.

Jemand eine Idee?

 

[ivegotmail]

pycrypt

 

[Elderan]

Hallo,
kenn mich mit Python nicht aus, aber liegen die Scripts als Klartext-Script vor, wie z.B. bei PHP, oder werden die kompiliert?

Also wenn sie nicht als Klartext vorliegen, dann solltest du das PW am besten generieren lassen, ähnlich wie dies bei CD-Keys der Fall ist.

Du kannst (solltest) zwar einen Ausgangswert in einer Textdatei abspeichern, aber diesen Wert durch möglich viele Funktionen manipulieren.

Dort könntest du z.B. Buchstaben vertauschen, mit einer pseudozufalls Zahlenfolge Xor-Verknüpfen (immer gleiche Seed benutzen), evt. Hash-Werte daraus bilden und und und.
So dass es ein Angreifer es möglichst schwer hat, aus der Binär-Datei deinen Algorithmus abzuleiten.

Dann solltest du den Script auch noch so einschränken, dass nur root diesen auslesen kann. Alle anderen dürfen ihn zwar ausführen, aber nur root darf den Script auslesen.
Einen externen Angriff, z.B. mit einem OS von einer CD, würde dies aber nicht abwehren.

 

[schmidtl_dd]

Hä?

Also ich habe jetzt zwei Scripte: eines das die Passwörter AES Verschlüsselt und Base64 kodiert in eine Datei schreibt, und das "eigentliche" Arbeitsscript, welches die Datei nutzt.

Das "Eintrage" script fragt die einzutragenden Daten interaktiv ab (oder ließt sie aus einem Textfile, welches hernach vernichtet wird)

Das "Arbeitsscript" nutzt diese Datei.

Der AES Key wird von beiden Scripts interaktiv erfragt.

Gibts da noch Sicherheitstechnische Bedenken? Binär compiliert is da nyx....

 

[free-zombie]

warum willst du passwörter entschlüsseln ? Ich finde MD5 bzw SHA1 für Passwörter ganz OK.