Acceptați ambele hashuri MD5 și SHA512 este /etc/shadow

Paweł

18.03.2023, 19:30

Am actualizat recent serverul debian cu mulți utilizatori la o versiune recentă. Vechiul server folosea hash-uri pentru parole MD5 (parolele umbră încep cu $1$), iar unul nou este configurat să folosească SHA-512. Doresc să migrez utilizatorii de la un server la altul.

Există vreo modalitate de a permite atât hashurile MD5, cât și SH512 în /etc/shadow? Bineînțeles că am nevoie de hash-uri MD5 doar pentru a permite utilizatorilor vechi să se autentifice până când schimbă parola și primesc hash SHA512.

Aș prefera să continui să folosesc sha512, dar aș dori ca utilizatorii vechi să se poată conecta parțial o dată cu vechea lor parolă și apoi să fie forțați să-și actualizeze parola. În acest moment, vechile parole bazate pe md5 din /etc/shadow nu vor permite utilizatorului să se autentifice deloc (și doar par a fi parole incorecte).

Orice ajutor?

0 + 0

linux

migrație

uac

Drudge

18.03.2023, 21:43

Nu sunt complet sigur, dar cred că mai multe variante de criptare sunt permise implicit și în timpul autentificării, varianta corectă este aleasă pe baza hash-ului. Hash-ul este stocat în formatul $id$salt$hashed. Dacă id-ul este 1, se alege md5, iar dacă id-ul este 6, se alege sha512 pentru verificarea parolei. Algoritmul de criptare implicit când se utilizează passwd este definit în mod normal în /etc/pam.d/common-password. Există o linie care conține pam_unix.so.Dacă există o opțiune numită sha512, parola ar trebui să fie stocată ca hash sha512 după rularea passwd, vezi linux.die.net/man8/pam_unix

Răspunde

Puncte:0

Server

Royce Williams

18.03.2023, 22:11

Modificarea valorii implicite nu afectează validitatea hashurilor existente. Deci, atâta timp cât tipurile de hash sunt încă acceptate, puteți „amesteca și potriviți” tipuri și ar trebui să poată fi folosite toate pentru autentificare.

După ce tipul de hash implicit este schimbat, pe măsură ce utilizatorii își actualizează parolele, parolele vor fi stocate folosind noul tip de hash - oferind exact calea de migrare pe care pare că o căutați.

0 + 0

Paweł

19.03.2023, 09:15

Mulțumesc pentru reluare. Problemă Am hashe-uri $1$(MD5) și $6(SHA512) în /etc/shadow. Noile parole sunt, evident, create cu hash-uri SH512. Cu toate acestea, utilizatorii cu hash-uri MD5 nu se pot autentifica (conectare incorectă)

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Accept both MD5 and SHA512 hashes is /etc/shadow

TH: ยอมรับแฮชทั้ง MD5 และ SHA512 คือ /etc/shadow

RO: Acceptați ambele hashuri MD5 și SHA512 este /etc/shadow

RU: Принимать как хэши MD5, так и SHA512 — /etc/shadow

VI: Chấp nhận cả hàm băm MD5 và SHA512 là /etc/shadow

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.