Cum să criptați parola utilizatorului în Freeradius

Am configurat recent un server freeradius și aș dori să schimb parola de utilizator care este în prezent în text clar la criptată în fișierul /etc/freeradius/3.0/users.

Așa arată pe server.

Când mă autentific pe server, pot vedea numele de utilizator și parola în /var/log/freeradius/radius.log fişier. Cum pot să-l criptez? Eu folosesc Debian.

Iată lista de atribute care corespund metodei de hashing: https://freeradius.org/radiusd/man/rlm_pap.txt

Descrierea atributului antetului
------ --------- -----------
{clear} Cleartext-Password Parole cu text clar
{cleartext} Cleartext-Password Parole cu text clar
{crypt} Crypt-Password Parole „criptate” în stil Unix
{md5} MD5-Password Parolele hashing MD5
{base64_md5} MD5-Password Parolele hashing MD5
{smd5} SMD5-Password Parolele MD5 cu hashing, cu o sare
{sha} SHA-Password Parolele hash SHA1
                SHA1-Parola Parolele SHA1 au hash
{ssha} SSHA-Password Parolele sha1 SHA1, cu o sare
{sha2} SHA2-Password Parolele sha2 SHA2
{sha224} SHA2-Password Parolele sha2 SHA2
{sha256} SHA2-Parolă Parolele SHA2 cu hash
{sha384} SHA2-Parolă Parolele SHA2 cu hash
{sha512} SHA2-Password Parolele sha2 SHA2
{ssha224} SSHA2-224-Password Parolele hashing SHA2, cu o sare
{ssha256} SSHA2-256-Password Parole cu hash SHA2, cu o sare
{ssha384} SSHA2-384-Password Parolele hashing SHA2, cu o sare
{ssha512} SSHA2-512-Password Parole cu hash SHA2, cu o sare
{nt} NT-Password Parole cu hashing pentru Windows NT
{nthash} NT-Password Parolele cu hashing pentru Windows NT
{md4} NT-Password Parolele cu hashing pentru Windows NT
{x-nthash} NT-Password Parolele cu hashing pentru Windows NT
{ns-mta-md5} NS-MTA-MD5-Parolă Netscape MTA MD5 hashed parole
{x- orcllmv} LM-Password Windows LANMAN parole cu hashing
{X- orclntv} NT-Password Parolele cu hashing pentru Windows NT

Nu uitați că protocolul și metoda pe care le utilizați pentru a vă autentifica clientul va afecta metoda de hashing pe care o puteți utiliza.

Puteți găsi un tabel pe care l-am folosit pentru a configura serverul meu Freeradius pentru compatibilitatea cu protocolul și parola: http://deployingradius.com/documents/protocols/compatibility.html

Pentru a genera o parolă sha256 sărată, am folosit următorul script pe github (trebuie să editați ultimele 2 rânduri pentru a schimba parola și sarea): https://gist.github.com/bestrocker221/f506eee8ccadc60cab71d5f633b7cc07

Pe scurt,

1. Trebuie să specificați un format hash pentru parolă în loc de Text clar-Parolă, și
2. Trebuie să setați auth_goodpass și auth_badpass la „nu” pentru a preveni înregistrarea parolelor.

Specificarea unui format hash

După cum este descris în pagina de manual rlm_pap, există o serie de setări de hash pentru parole care pot fi folosite în loc de Text clar-Parolă. Să luăm un exemplu simplu, MD5-Parola:

#bob Cleartext-Password := „bună ziua”
bob MD5-Parola:= "7d793037a0760186574b0282f2f435e7"
        Răspuns-Mesaj:= „Bună ziua, %{User-Name}”

Puteți genera cu ușurință un hash de parolă md5, astfel:

$ echo -n lume | md5sum | awk '{print $1}'
7d793037a0760186574b0282f2f435e7
$

Când testăm acest lucru pe serverul nostru, vedem că se autentifică:

$ radtest bob world localhost 1 testing123
ID-ul cererii de acces trimis 214 de la 0.0.0.0:34920 la 127.0.0.1:1812 lungime 73
        Nume utilizator = "bob"
        Parola utilizator = „lume”
        NAS-IP-Adresă = 127.0.1.1
        NAS-Port = 1
        Message-Authenticator = 0x00
        Cleartext-Password = „lume”
Acces primit-Accept ID 214 de la 127.0.0.1:1812 la 127.0.0.1:34920 lungime 32
        Răspuns-Mesaj = „Bună, bob”

De asemenea, puteți specifica hash-ul dvs. cu genericul Parolă cu antet opțiune:

#bob Cleartext-Password := „bună ziua”
bob Password-With-Header := „{md5}7d793037a0760186574b0282f2f435e7”
        Răspuns-Mesaj:= „Bună ziua, %{User-Name}”

Aceasta are același efect ca și MD5-Parola versiunea a făcut-o. Lista antetelor acceptate este aici rlm_pap pagina de manual.

Unul dintre cele mai interesante antete disponibile este Parolă-criptă deoarece va rula hash-uri de parole prin libcrypt și, prin urmare, va funcționa cu orice hash-uri găsiți /etc/shadow. De exemplu, pe un sistem Debian, yescrypt hash-uri:

bob Crypt-Parolă := „$y$j9T$2fOq6bdva3zoX6OfH.JvY0$PbUGbp1U.UXFAnGrkDrYnLZEDK.PXO/HXDsBn4mCsM8”
        Răspuns-Mesaj:= „Bună ziua, %{User-Name}”

(Parola în acest caz este a38sgena)

Dezactivarea înregistrării parolelor

Pentru a dezactiva înregistrarea parolelor, găsiți auth_goodpass și auth_badpass selectii din cadrul radiusd.conf fişier:

# Înregistrați parolele cu cererile de autentificare.
# auth_badpass - înregistrează parola dacă este respinsă
# auth_goodpass - înregistrează parola dacă este corectă
#
# valori permise: {nu, da}
#
auth_badpass = nu
auth_goodpass = nu

Asigurați-vă că acestea sunt setate la „nu” și înregistrarea dvs. nu va mai include parole.