<\/p>\n
Nombreux sont ceux qui esp\u00e8re trouver la solution ultime pour prot\u00e9ger les diff\u00e9rents scripts Bash\/Sh qu’ils produisent. Il n’est pas rare, loin de l\u00e0, de d\u00e9ployer des scripts shell critiques sur des environnements de production et des serveurs en-ligne.<\/p>\n
Pourquoi critique? Car le code source de ces scripts est accessible en clair, et qu’ils renferment souvent des informations qui s’av\u00e8rent \u00eatre d’un grand int\u00e9r\u00eat pour quelqu’un de malintentionn\u00e9 (mots de passe r\u00e9seau, de bases de donn\u00e9es, etc.).<\/p>\n
Ces scripts peuvent \u00eatre aussi divers que vari\u00e9s. A titre d\u2019exemple, de tels scripts sont souvent :<\/p>\n
Tous les administrateurs syst\u00e8mes ont d\u00e9j\u00e0 \u00e9t\u00e9 amen\u00e9s au moins une fois \u00e0 exploiter de tels scripts.<\/p>\n
Certaines bonnes pratiques permettent toutefois d\u2019accro\u00eetre la s\u00e9curit\u00e9 de ces fichier sensibles sous un environnement Linux :<\/p>\n
Une solution existe depuis plusieurs ann\u00e9es, permettant de transformer un script \u00ab\u00a0*.sh\u00a0\u00bb en un binaire dont le code source du script initial est enti\u00e8rement chiffr\u00e9 et embarqu\u00e9 dans ce binaire. L\u2019id\u00e9e est d\u2019emp\u00eacher la visualisation du code source du script en clair et de d\u00e9courager certains curieux aux actions malveillantes.<\/p>\n
La solution se nomme \u00ab\u00a0shc<\/a>\u00a0\u00bb pour \u00ab\u00a0SHell Compiler\u00a0\u00bb. Ce petit outil OpenSource d\u00e9velopp\u00e9 par Francisco Javier Rosales Garcia dont la derni\u00e8re version en date est la 3.8.9 permet de chiffrer n\u2019importe quel script interpr\u00e9t\u00e9 sous un terminal Linux.<\/p>\n Pour s’en \u00e9quiper, t\u00e9l\u00e9charger la derni\u00e8re version et compiler l’outil :<\/p>\n [bash]<\/p> L’aide de SHc renseigne sur son utilisation :<\/p>\n [bash]<\/p> Pour illustrer le fonctionnement de SHc, voici un simple script (totalement inutile) qui contient des informations sensibles. Ce script est vou\u00e9 \u00e0 un d\u00e9ploiement en production :<\/p>\n [bash]<\/p> SHc permet de chiffrer le code source pr\u00e9c\u00e9dent du script afin de concevoir un binaire autonome qui r\u00e9alise les t\u00e2ches \u00e9quivalentes :<\/p>\n [bash]<\/p> A la suite de l’ex\u00e9cution de SHc, deux fichiers sont produits :<\/p>\n On notera que le binaire chiffr\u00e9 r\u00e9alise exactement les m\u00eames actions que le script initial :<\/p>\n [bash]<\/p> La version actuelle de SHc g\u00e9n\u00e8re un code C “*.sh.x.c” qui varie \u00e0 chaque ex\u00e9cution. La d\u00e9claration des variables et les vecteurs cryptographiques est al\u00e9atoire \u00e0 chaque protection. L’utilisation du “-r” permet d’\u00e9tendre la compatibilit\u00e9 du binaire chiffr\u00e9 vers d’autres plateformes.<\/p>\n La version binaire chiffr\u00e9 peut \u00eatre plac\u00e9e sur un serveur de production afin d\u2019augmenter la s\u00e9curit\u00e9 de celui-ci. Bien \u00e9videmment, il est conseill\u00e9 de conserver le script original dont la source est accessible.<\/p>\n Le fonctionnement g\u00e9n\u00e9ral de shc est le suivant :<\/p>\n L\u2019outil shc permet \u00e9galement d\u2019int\u00e9grer une notion de validit\u00e9 temporelle du script. Au del\u00e0 d\u2019une certaine date (temps d\u2019utilisation), son ex\u00e9cution est bloqu\u00e9e pour laisser place \u00e0 un message arbitraire.<\/p>\n Cet outil am\u00e9liore sensiblement la s\u00e9curit\u00e9 des scripts sensibles qui sont d\u00e9ploy\u00e9s sur des serveurs unix de production. Toutefois, il convient de garder \u00e0 l’esprit que le binaire produit par SHc est “stand-alone”. Ce qui signifie qu’il est totalement ind\u00e9pendant pour son ex\u00e9cution. Il contient par cons\u00e9quent la source du script Sh initial (chiffr\u00e9e), ainsi que tout le mat\u00e9riel cryptographique n\u00e9cessaire au d\u00e9chiffrement et \u00e0 sa propre ex\u00e9cution. Il est donc tout \u00e0 fait possible de r\u00e9g\u00e9n\u00e9rer le script sh initial en n’ayant que le binaire prot\u00e9g\u00e9.<\/p>\n Pour illustrer ces propos, un article d\u00e9di\u00e9 sur le d\u00e9chiffrement manuel d’un script “*.sh.x” prot\u00e9g\u00e9 par SHc appara\u00eetra tr\u00e8s prochainement.<\/p>\n Sources & ressources :<\/strong><\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Nombreux sont ceux qui esp\u00e8re trouver la solution ultime pour prot\u00e9ger les diff\u00e9rents scripts Bash\/Sh qu’ils produisent. Il n’est pas […]<\/p>\n","protected":false},"author":1337,"featured_media":1134,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[59,57,56,165,16],"tags":[358,219,359,363,360,362,365,357,34,364,366,361],"class_list":["post-1007","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administration-reseaux-et-systemes","category-cryptographie","category-cryptologie","category-os","category-prog-and-dev","tag-sh-x","tag-bash","tag-bash-encrypted","tag-generic-script-compiler","tag-rc4","tag-script-bash-protected","tag-sh","tag-shc","tag-shell","tag-shell-compiler","tag-unix","tag-unshc"],"_links":{"self":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/1007","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/users\/1337"}],"replies":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/comments?post=1007"}],"version-history":[{"count":11,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/1007\/revisions"}],"predecessor-version":[{"id":1756,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/1007\/revisions\/1756"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media\/1134"}],"wp:attachment":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media?parent=1007"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/categories?post=1007"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/tags?post=1007"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n<p>wget -q http:\/\/www.datsi.fi.upm.es\/~frosal\/sources\/shc-3.8.9.tgz<br \/>
\ntar zxvf shc-3.8.9.tgz<br \/>
\ncd shc-3.8.9<br \/>
\nln -s shc-3.8.9.c shc.c<br \/>
\nmake<\/p>
\n<p>[\/bash]<\/p>\n
\n<p>root@server:~\/shc\/shc-3.8.9# shc -h<br \/>
\nshc Version 3.8.9, Generic Script Compiler<br \/>
\nshc Copyright (c) 1994-2012 Francisco Rosales &lt;frosal@fi.upm.es&gt;<br \/>
\nshc Usage: shc [-e date] [-m addr] [-i iopt] [-x cmnd] [-l lopt] [-rvDTCAh] -f script<br \/>
\n-e %s Expiration date in dd\/mm\/yyyy format [none]<br \/>
\n -m %s Message to display upon expiration [&quot;Please contact your provider&quot;]<br \/>
\n -f %s File name of the script to compile<br \/>
\n -i %s Inline option for the shell interpreter i.e: -e<br \/>
\n -x %s eXec command, as a printf format i.e: exec(‘%s’,@ARGV);<br \/>
\n -l %s Last shell option i.e: –<br \/>
\n -r Relax security. Make a redistributable binary<br \/>
\n -v Verbose compilation<br \/>
\n -D Switch ON debug exec calls [OFF]<br \/>
\n -T Allow binary to be traceable [no]<br \/>
\n -C Display license and exit<br \/>
\n -A Display abstract and exit<br \/>
\n -h Display help and exit<br \/>
\nEnvironment variables used:<br \/>
\n Name Default Usage<br \/>
\n CC cc C compiler command<br \/>
\n CFLAGS C compiler flags<br \/>
\nPlease consult the shc(1) man page.<\/p>
\n<p>[\/bash]<\/p>\n
\n<p>#!\/bin\/bash<br \/>
\n# This script is very critical !<br \/>
\necho &quot;I’m a super critical and private script !&quot;<br \/>
\nPASSWORDROOT=&quot;SuPeRrOoTpAsSwOrD&quot;<br \/>
\nmyService –user=root –password=$PASSWORDROOT &gt; \/dev\/null 2&gt;&amp;1<\/p>
\n<p>[\/bash]<\/p>\n
\n<p>[root@server:~\/scripts\/shc]$ .\/shc -v -r -f myScript.sh<br \/>
\nshc shll=bash<br \/>
\nshc [-i]=-c<br \/>
\nshc [-x]=exec ‘%s’ &quot;$@&quot;<br \/>
\nshc [-l]=<br \/>
\nshc opts=<br \/>
\nshc: cc myScript.sh.x.c -o myScript.sh.x<br \/>
\nshc: strip myScript.sh.x<br \/>
\nshc: chmod go-r myScript.sh.x<\/p>
\n<p>[root@server:~\/scripts\/shc]$ ll myScript.sh*<br \/>
\n-rwxr-xr-x 1 root root 191 2013-07-18 17:03 myScript.sh*<br \/>
\n-rwx–x–x 1 root root 10508 2013-07-18 17:06 myScript.sh.x*<br \/>
\n-rw-r–r– 1 root root 10421 2013-07-18 17:06 myScript.sh.x.c<\/p>
\n<p>[\/bash]<\/p>\n\n
\n<p>[root@server:~\/scripts\/shc]$ .\/myScript.sh<br \/>
\nI’m a super critical and private script !<br \/>
\n[root@server:~\/scripts\/shc]$ .\/myScript.sh.x<br \/>
\nI’m a super critical and private script !<\/p>
\n<p>[\/bash]<\/p>\n\n
\n