Wykorzystywanie funkcji skrótu SHA do zabezpieczenia haseł systemowych

Kategoria: FAQ, etykiety: system, bezpieczeństwo

Dodany: 2009-07-25 23:56 (zmodyfikowany: 2009-07-26 14:49)
Przez: thalcave

Wyświetleń: 6739

W systemach Linux hasła (właściwie ich skróty) zapisane są (zazwyczaj) w /etc/shadow. Wykorzystywaną funkcją była MD5. Funkcja ta już nie jest niestety bezpieczna.

Możemy zaobserwować, że deweloperzy niektórych dystrybucji (m.in. Gentoo, Fedory, Ubuntu) zrezygnowali z MD5 na rzecz SHA512 będącej implementacją SHA-2 z kluczem 512-bitowym.

W Debianie także możemy zmienić ten stan rzeczy w dość prosty sposób. Mianowicie należy w pliku /etc/pam.d/common-password odnaleźć linijkę podobną do tej:

password     [success=1 default=ignore]       pam_unix.so obscure md5

i zmienić md5 na sha512:

password     [success=1 default=ignore]       pam_unix.so obscure sha512

Od tej chwili system będzie zapamiętywał ich skróty algorytmu SHA512. Musimy zatem poprosić lub w jakikolwiek inny sposób przekonać użytkowników systemu do zmiany hasła. Dobrym sposobem jest wymuszenie zmiany. W tym celu wydajemy komendę:

chage -d 0 login

OSnews Wykop Blip Flaker Kciuk Śledzik Facebook Identi.ca Twitter del.icio.us Google Bookmarks