Wykorzystywanie funkcji skrótu SHA do zabezpieczenia haseł systemowych
Kategoria: FAQ, etykiety: system, bezpieczeństwo
Dodany: 2009-07-25 23:56
(zmodyfikowany: 2009-07-26 14:49)
Przez: thalcave
Wyświetleń: 9551
W systemach Linux hasła (właściwie ich skróty) zapisane są (zazwyczaj) w /etc/shadow. Wykorzystywaną funkcją była MD5
. Funkcja ta już nie jest niestety bezpieczna.
Możemy zaobserwować, że deweloperzy niektórych dystrybucji (m.in. Gentoo, Fedory, Ubuntu) zrezygnowali z MD5
na rzecz SHA512
będącej implementacją SHA-2
z kluczem 512-bitowym.
W Debianie także możemy zmienić ten stan rzeczy w dość prosty sposób. Mianowicie należy w pliku /etc/pam.d/common-password odnaleźć linijkę podobną do tej:
password [success=1 default=ignore] pam_unix.so obscure md5
i zmienić md5
na sha512
:
password [success=1 default=ignore] pam_unix.so obscure sha512
Od tej chwili system będzie zapamiętywał ich skróty algorytmu SHA512
. Musimy zatem poprosić lub w jakikolwiek inny sposób przekonać użytkowników systemu do zmiany hasła. Dobrym sposobem jest wymuszenie zmiany. W tym celu wydajemy komendę:
chage -d 0 login