Gerando uma senha aleatória; por que isso não é portátil?

Quero gerar uma senha aleatória e faço assim:

</dev/urandom tr -dc [:print:] | head -c 64

No meu laptop, que executa o Ubuntu, isso produz apenas caracteres imprimíveis, conforme pretendido. Mas quando ssh no servidor da minha escola, que executa o Red Hat Enterprise Linux, e o executo lá, recebo resultados como o 3!ri�b�GrӴ��1�H�<�oM����&�nMC[�Pb�|L%MP�����9��fL2q���IFmsd|l�Kque não funcionam. O que pode estar errado aqui?

É o seu problema de localidade e tr .

Atualmente, o GNU tr suporta totalmente apenas caracteres de byte único. Portanto, em locais usando codificações multibyte, a saída pode ser estranha:

$ </dev/urandom LC_ALL=vi_VN.tcvn tr -dc '[:print:]' | head -c 64
`�pv���Z����c�ox"�O���%�YR��F�>��췔��ovȪ������^,<H ���>

O shell imprimirá caracteres de vários bytes corretamente, mas o GNU trremoverá os bytes que julgar imprimíveis.

Se você deseja que ele seja estável, você deve definir o código do idioma:

$ </dev/urandom LC_ALL=C tr -dc '[:print:]' | head -c 64
RSmuiFH+537z+iY4ySz`{Pv6mJg::RB;/-2^{QnKkImpGuMSq92D(6N8QF?Y9Co@

Considere em vez disso

$ dd if=/dev/urandom bs=48 count=1 status=none | base64
imW/X60Sk9TQzl+mdS5PL7sfMy9k/qFBWWkzZjbYJttREsYpzIguWr/uRIhyisR7

Isso tem duas vantagens:

• Você lê apenas 48 bytes do dispositivo aleatório, não ~ 8KB; se outros processos no mesmo host precisarem de números aleatórios, 8 KB esgotados de uma só vez podem ser um problema sério. (Sim, sem dúvida, ninguém deve estar usando o bloqueio de dispositivo aleatório, mas as pessoas fazem .)

• A saída de base64quase não contém caracteres com significados especiais. (Para nenhum, a aderência | tr +/ -_sobre a extremidade, e (como no exemplo) certificar-se o número de bytes de entrada a base64é um múltiplo de 3)

Uma senha gerada dessa maneira possui exatamente 384 bits de entropia, que é um pouco menor do que o que você estava fazendo (log ₂ 96 ⁶⁴ × 421.4), mas é mais do que suficiente para a maioria dos propósitos (256 bits de entropia está em segurança "ainda adivinhando quando o A Sun queima o território ", exceto as chaves RSA, AFAIK).

Outras pessoas já apontaram que locale determina o que [:print:]significa. No entanto, nem todos os caracteres imprimíveis são adequados para senhas (nem mesmo em ascii). Você realmente não quer espaços, tabulações e # $% ^? na sua senha - não é apenas difícil de lembrar, também é potencialmente perigoso para o sistema de autenticação subjacente, pode ser impossível entrar em um campo de entrada e assim por diante. Nesse caso, você deve apenas selecionar manualmente caracteres "sãos":

LC_ALL=C </dev/urandom tr -dc '[:alnum:]_' | head -c 64

ou simplesmente

</dev/urandom tr -dc 'A-Za-z0-9_' | head -c 64

Ou melhor ainda, use base64como sugerido em outras respostas.

Sobre o quê

tr -dc [:print:] < /dev/urandom | head -c 64 | strings

strings devem imprimir a saída do urandom em um formato imprimível

Não sei se existe algum motivo para você /dev/randomgerar a senha, mas eu recomendaria o uso do pwgen para aliviar sua dor.

$ pwgen -s 10 1

Onde 10 é o comprimento da senha.

http://man.cx/pwgen

#Chars allowed in password (I don't like l,o,O, etc):
P="0123456789ABCDEFGHIJKLMNPQRSTUVWXYZabcdefghijkmnpqrstuvwxyz"

#Or such:
#P="a-zA-Z0-9"

head -c 8 < /dev/urandom | tr '\000-\377' "$P$P$P$P$P"
echo

Este método IMHO é mais inteligente quando consumir dados de / dev / urandom A string colada como $ P $ P $ P ... deve ter pelo menos 256 caracteres.