/etc/shadow は MD5 および SHA512 ハッシュを受け入れます。

/etc/shadow は MD5 および SHA512 ハッシュを受け入れます。

多くのユーザーが最近、Debian サーバーを最新バージョンにアップグレードしました。以前のサーバーはMD5パスワードハッシュ($ 1 $で始まるシャドウパスワード)を使用し、新しいサーバーはSHA-512を使用するように構成されました。あるサーバーから別のサーバーにユーザーを移行したいと思います。

/etc/shadowでMD5とSH512ハッシュの両方を許可する方法はありますか?もちろん、古いユーザーがパスワードを変更してSHA512ハッシュを取得するまでログインできるようにするには、MD5ハッシュが必要です。

私はsha512を使い続けたいのですが、古いユーザーが以前のパスワードで一度部分的にログインしてから強制的にパスワードを更新できることを願っています。これで、/etc/shadowの以前のmd5ベースのパスワードはユーザーのログインをまったく許可しません(そして間違ったパスワードとして表示されます)。

助けが必要ですか?

答え1

次の行を追加します。/etc/pam.d/passwd

password        required        pam_unix.so md5,sha512  shadow nullok rounds=65536

その後、パスワードを再生成します。

sudo passwd $USER

注:参照衝突の脆弱性

関連情報