Как убрать ввод пароля в psql в shell скрипте?

Question

[Антон Стяжкин]

Привет, хочу сделать скрипт для выполнения SQL запроса.

#!/bin/bash

psql -h 192.168.20.145 -p 5432 -U tony -d trn -с "Some magic things"

Можно ли как-то по заранее указанному паролю сделать это, без ручной авторизации?

Comments

[Everything_is_bad]

достаточно погуглить, ответ давно дан

[Евгений Залецкий]

согласен, что можно всё записать и не вводить вручную

Answer 1

[SunTechnik]

Почитайте про .pgpass
Можно ещё в вызове pgsql задать пароль через -W,
, но это плохой способ, так как пароль будет виден всем при вызове ps.

Answer 2

[Сергей Соловьев]

Как уже сказали: .pgpass (предпочтительный) или через флаг -W

Также можно задать переменную окружения PGPASSWORD (но также не безопасно, т.к. виден в ps)

PGPASSWORD=password psql -h 192.168.20.145 -p 5432 -U tony -d trn -с "Some magic things"

P.S. если это в скрипте, то лучше будет самому скрипту передать переменную

PGPASSWORD=password ./connect-psql.sh

Comments

[Saboteur]

как это переменная окружения видна в ps?
Это как раз достаточно безопасный способ. Только рут или тот же юзер может посмотреть переменные окружения процесса. Но он и .pgpass может посмотреть

[Сергей Соловьев]

Saboteur, как по мне это (переменная окружения) еще один способ раскрыть секреты. да, и переменная и файл - все можно посмотреть, но вот вероятность показать всем этот пароль больше если передавать через переменную окружения - достаточно просто случайно вызвать ps.
случайно прочитать файл вероятность меньше

[Saboteur]

Сергей Соловьев, ps не может показать переменные окружения, это вы что-то обманываете.
ps может показать командную строку. Но переменные окружения хранятся в метаданных процесса и естественно защищены как и сам процесс.

[Сергей Соловьев]

Saboteur, ps eww

[Saboteur]

так только те процессы, к которым есть доступ. Чужие нельзя.

Понятно что от рута можно посмотреть все. Ну от рута или юзера с доступом и без ps можно посмотреть.

Если юзер не рут и не владелец (не группа) процесса, он может видеть только общую информацию - pid, ppid, имя процесса, ресурсы и полную командную строку. Тут да, есть опасность, если сенситив информацию в командную строке указали через опцию. А переменные окружения защищены