Принимать как хэши MD5, так и SHA512 — /etc/shadow

Paweł

18.03.2023, 19:30

Недавно я обновил сервер Debian со многими пользователями до последней версии. Старый сервер использовал хэши паролей MD5 (теневые пароли начинаются с $1$), а новый настроен на использование SHA-512. Я хочу перенести пользователей с одного сервера на другой.

Есть ли способ разрешить использование хэшей MD5 и SH512 в /etc/shadow? Конечно, мне нужны хэши MD5 только для того, чтобы старые пользователи могли войти в систему, пока они не сменят пароль и не получат хэш SHA512.

Я бы предпочел продолжать использовать sha512, но хотел бы, чтобы старые пользователи могли частично войти в систему один раз со своим старым паролем, а затем были вынуждены обновить свой пароль. Прямо сейчас старые пароли на основе md5 в /etc/shadow вообще не позволяют пользователю войти в систему (и просто кажутся неправильными паролями).

Любая помощь?

0 + 0

линукс

миграция

ОАК

Drudge

18.03.2023, 21:43

Я не совсем уверен, но я думаю, что несколько вариантов шифрования разрешены по умолчанию, и во время аутентификации правильный вариант выбирается на основе хэша. Хэш хранится в формате $id$salt$hashed. Если id равен 1, выбирается md5, а если id равен 6, для проверки пароля выбирается sha512. Алгоритм шифрования по умолчанию при использовании пароля обычно определяется в файле /etc/pam.d/common-password. Есть строка, содержащая pam_unix.so.Если есть опция sha512, пароль должен быть сохранен в виде хэша sha512 после запуска passwd, см. linux.die.net/man8/pam_unix.

Ответить

Рейтинг:0

Server

Royce Williams

18.03.2023, 22:11

Изменение значения по умолчанию не влияет на достоверность существующих хэшей. Таким образом, пока типы хэшей все еще поддерживаются, вы можете «смешивать и сопоставлять» типы, и все они должны быть в состоянии использоваться для аутентификации.

После изменения типа хэша по умолчанию, когда пользователи обновляют свои пароли, пароли будут храниться с использованием нового типа хэша, предоставляя именно тот путь миграции, который вы ищете.

0 + 0

Paweł

19.03.2023, 09:15

Спасибо за повтор. Проблема У меня есть хэши $1$(MD5) и $6(SHA512) в /etc/shadow. Очевидно, что новые пароли создаются с помощью хэшей SH512. Однако пользователи с хешами MD5 не могут войти в систему (неверный логин)

Ответить

Admin

Этот вопрос на других языках:

EN: Accept both MD5 and SHA512 hashes is /etc/shadow

TH: ยอมรับแฮชทั้ง MD5 และ SHA512 คือ /etc/shadow

RO: Acceptați ambele hashuri MD5 și SHA512 este /etc/shadow

RU: Принимать как хэши MD5, так и SHA512 — /etc/shadow

VI: Chấp nhận cả hàm băm MD5 và SHA512 là /etc/shadow

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.