引言
筆者在《PowerShell 遠(yuǎn)程執(zhí)行任務(wù)》一文中提到了在腳本中使用用戶名和密碼的基本方式:
$Username = 'xxxx'$Password = 'yyyy'$Pass = ConvertTo-SecureString $Password -AsPlainText -Force$Cred = New-Object System.Management.Automation.PSCredential -ArgumentList $Username,$Pass
上面的代碼僅僅是能工作而已�,因?yàn)樵谏杂邪踩砸蟮沫h(huán)境中都不會允許明文密碼的出現(xiàn)。本文將介紹在 PowerShell 腳本中如何以比較安全的方式使用密碼���。
把密碼轉(zhuǎn)為 SecureString
先來了解下面兩個(gè)概念:
SecureStringEncrypted Standard String
SecureString 是 .net 中的一個(gè)類型�,它是為了解決安全性而設(shè)計(jì)出來的一種特殊的字符串類型�。比如你使用一個(gè)密碼字符串創(chuàng)建 SecureString 對象����,你無法通過這個(gè)對象還原出原來的密碼字符串��,但是卻可以把 SecureString 對象當(dāng)做密碼使用�。
Encrypted Standard String 是指經(jīng)過加密后的一個(gè)字符串��。
ConvertTo-SecureString 命令可以通過明文的字符串創(chuàng)建 SecureString 對象:
$SecurePwd = ConvertTo-SecureString "123456" -AsPlainText -Force
然后再使用 $SecurePwd 創(chuàng)建 Credential 等身份信息。這種方式就是筆者在引言部分使用的方法,這是不安全的,因?yàn)槿魏文軌虿榭茨_本的人都能從中找出密碼�。
把 SecureString 轉(zhuǎn)為加密字符串
通過 ConvertFrom-SecureString 命令���,我們可以把一個(gè) SecureString 對象轉(zhuǎn)換成一個(gè) Encrypted Standard String(加密后的一個(gè)字符串)����,然后保存到文件中。在創(chuàng)建 Credential 時(shí)直接使用前面保存的文件���,從而避免明文密碼在系統(tǒng)中出現(xiàn)����。
$SecurePwd = ConvertTo-SecureString "123456" -AsPlainText -ForceConvertFrom-SecureString $SecurePwd
上圖顯示 ConvertFrom-SecureString 命令生成的加密字符串�����,我們把它保存到文本文件中:
ConvertFrom-SecureString $SecurePwd | Out-File "D:/pwd.txt"
看看內(nèi)容:
好了�,接下來就可以直接使用 pwd.txt 文件了�����。
一種看起來比較正常,也很安全的推薦用法:
復(fù)制代碼 代碼如下:
Read-Host "Enter Password" -AsSecureString | ConvertFrom-SecureString | Out-File "D:/pwd.txt"
執(zhí)行這行命令����,會要求你輸入密碼:
此處使用鍵盤輸入代替了明文的密碼字符串�����。
介紹了 ConvertFrom-SecureString 命令的用法后就可以介紹 ConvertTo-SecureString 命令的另外一個(gè)用法����,把加密字符串轉(zhuǎn)換成 SecureString 對象:
$f = "D:/pwd.txt"$SecurePwd = Get-Content $f | ConvertTo-SecureString$SecurePwd.Length
這次我們把 pwd.txt 文件中的內(nèi)容通過 ConvertTo-SecureString 命令重新生成 SecureString 對象。最后通過 Length 屬性檢查了密碼的長度。
下圖概括了本文中主要術(shù)語和命令的關(guān)系:
應(yīng)用密碼的正確姿勢
下面是在腳本中使用密碼的建議做法:
# 生成并保存密碼文件Read-Host "Enter Password" -AsSecureString | ConvertFrom-SecureString | Out-File "D:/pwd.txt"# 使用密碼文件創(chuàng)建 Credential 信息$f = "D:/pwd.txt"$Cred = New-Object -TypeName System.Management.Automation.PSCredential ` -ArgumentList UserName, (Get-Content $f | ConvertTo-SecureString)
這種用法也有不足之處�,就是只能在生成 pwd.txt 文件的機(jī)器上使用這個(gè)文件。如果把它復(fù)制到其它的機(jī)器上��,執(zhí)行 Get-Content $f | ConvertTo-SecureString 時(shí)就會報(bào)錯(cuò):
這是一種安全性限制�����,如果我們想在其它機(jī)器上使用 pwd.txt��,就得了解些高級的用法�����!
高級玩法
ConvertTo-SecureString 和 ConvertFrom-SecureString 命令都支持選項(xiàng) -Key��。在處理密碼時(shí)通過使用 Key 選項(xiàng)可以提供額外的安全性�,并且允許在不同的環(huán)境中使用密碼文件���。
先生成 32 位的 Key 并保存在文件 AES.key 中:
$keyFile = "D:/aes.key"$key = New-Object Byte[] 32[Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($key)$key | out-file $keyFile
使用 Key 生成并保存密碼文件:
復(fù)制代碼 代碼如下:
Read-Host "Enter Password" -AsSecureString | ConvertFrom-SecureString -key $key | Out-File "D:/pwd.txt"
使用密碼文件創(chuàng)建和 Key 文件創(chuàng)建 Credential 信息:
$userName = "YourUserName"$passwdFile = "D:/pwd.txt"$keyFile = "D:/aes.key"$key = Get-Content $keyFile$Cred = New-Object -TypeName System.Management.Automation.PSCredential ` -ArgumentList $userName, (Get-Content $passwdFile | ConvertTo-SecureString -Key $key)
通過這種方法���,把 pwd.txt 和 aes.key 文件拷貝到其它的機(jī)器上也是可以工作的。但是我們需要額外維護(hù)一個(gè) key 文件的安全�����,這一般通過設(shè)置文件的訪問權(quán)限就可以了。
總結(jié)
PowerShell 提供的安全選項(xiàng)使我們可以避免在腳本中直接使用明文的密碼���,把密碼加密后保存在文件中的好處是可以通過文件的權(quán)限管理進(jìn)行安全性控制���。而使用 Key 選項(xiàng)則可以對上述用例進(jìn)行擴(kuò)展��,從而支持更多的使用場景����。但是帶來的不便是我們需要另外維護(hù)一個(gè)機(jī)密的 Key 文件�。從這點(diǎn)也可以看出�����,所謂的安全性其實(shí)是由安全機(jī)制和用戶一起來保證的����!無論多么安全的機(jī)制��,在用戶泄露了認(rèn)證信息的情況下都是沒有意義的��。
以上就是本文的全部內(nèi)容�,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持VEVB武林網(wǎng)����。
