多くのユーザーが最近、Debian サーバーを最新バージョンにアップグレードしました。以前のサーバーはMD5パスワードハッシュ($ 1 $で始まるシャドウパスワード)を使用し、新しいサーバーはSHA-512を使用するように構成されました。あるサーバーから別のサーバーにユーザーを移行したいと思います。
/etc/shadowでMD5とSH512ハッシュの両方を許可する方法はありますか?もちろん、古いユーザーがパスワードを変更してSHA512ハッシュを取得するまでログインできるようにするには、MD5ハッシュが必要です。
私はsha512を使い続けたいのですが、古いユーザーが以前のパスワードで一度部分的にログインしてから強制的にパスワードを更新できることを願っています。これで、/etc/shadowの以前のmd5ベースのパスワードはユーザーのログインをまったく許可しません(そして間違ったパスワードとして表示されます)。
助けが必要ですか?
答え1
次の行を追加します。/etc/pam.d/passwd
password required pam_unix.so md5,sha512 shadow nullok rounds=65536
その後、パスワードを再生成します。
sudo passwd $USER
注:参照衝突の脆弱性