Ich weiß nicht, ob dies normal ist, aber die Sache ist, sagen wir, ich habe einen Solaris-Benutzer namens gloaiza und sein Passwort ist password2getin
Ich logge mich mit PuTTY auf dem Server ein. Ich habe gerade 192.168.224.100 eingegeben und es wird ein Fenster angezeigt , in dem nach einem Benutzer gefragt wird. Also tippe ich gloaiza ein , frage nach einem Passwort und nehme an , ich tippe aus Versehen password2geti , und es hat funktioniert! Ich bin im Server!
Ist das normal? Es funktioniert auch, wenn ich so etwas wie password2getin2 setze .
Ich bin kein englischer Muttersprachler. Falls Sie etwas nicht verstehen, fragen Sie mich bitte
Betriebssystem: Oracle Solaris 10 1/13
passwork
dich rein?pass2word
, dann funktioniert es mitpass2wor
,pass2word1
,pass2worr1
, und so weiter ... Ich denke , es mit allem , was funktioniert , wenn Sie gebenpass2wor
Ich glaube nicht , es ist ein großes ist Problem, ist aber auch nicht gut.busybox
Wird stillschweigend auf DES zurückgreifen, wenn Sie nicht alle richtigen Krypto-Optionen in seinem.config
und Ihrem aktiviert habenlibc
. Nehmen Sie sich heute vielleicht eine Minute Zeit, um Ihrepasswd
/shadow
files zu überprüfen ? ;)Antworten:
Das Betriebssystem speichert einen Hash des Passworts in
/etc/shadow
(oder historisch gesehen an/etc/passwd
einem anderen Ort in einigen anderen Unix-Varianten). In der Vergangenheit war der erste verbreitete Kennwort-Hash ein DES-basiertes Schema, das nur die ersten 8 Zeichen des Kennworts berücksichtigte. Außerdem muss ein Passwort-Hashing-Algorithmus langsam sein. Das DES-basierte Schema war bei der Erfindung etwas langsam, für heutige Verhältnisse jedoch unzureichend.Seitdem wurden bessere Algorithmen entwickelt. Solaris 10 verwendet jedoch standardmäßig das historische DES-basierte Schema. In Solaris 11 wird standardmäßig ein Algorithmus verwendet, der auf iteriertem SHA-256 basiert und modernen Standards entspricht.
Wenn Sie keine historische Kompatibilität mit alten Systemen benötigen, wechseln Sie zum iterierten SHA-256-Schema. Bearbeiten Sie die Datei
/etc/security/policy.conf
und ändern Sie dieCRYPT_DEFAULT
Einstellung in 5, was für stehtcrypt_sha256
. Möglicherweise möchten Sie auch gesetztCRYPT_ALGORITHMS_ALLOW
undCRYPT_ALGORITHMS_DEPRECATE
.Sobald Sie die Konfiguration geändert haben, führen Sie den Befehl aus,
passwd
um Ihr Kennwort zu ändern. Dadurch wird der Passwort-Hash mit dem aktuell konfigurierten Schema aktualisiert.quelle
Dies wird zumindest in einer Solaris 10-Standardkonfiguration und einer älteren Konfiguration erwartet.
Ihr System verwendet den alten Unix-
crypt_unix
Algorithmus, der die Anzahl der verwendeten Zeichen auf acht begrenzt.Dies ist auf der
passwd
Handbuchseite dokumentiert :Da dieser Algorithmus im Wesentlichen veraltet ist. Sie sollten zu etwas Besserem wechseln (die verfügbaren Werte sind auf der
crypt.conf
Handbuchseite aufgeführt), indem Sie dieCRYPT_ALGORITHMS_DEPRECATE
undCRYPT_DEFAULT
-Einträge in die/etc/security/policy.conf
Datei eingeben .Siehe http://docs.oracle.com/cd/E19253-01/816-4557/concept-63/index.html
quelle
2a
(bcrypt) kann das Beste sein .Siehe diesen Thread in Oracle-Foren :
Siehe auch Ändern des Passwortalgorithmus (Task Map) und insbesondere Festlegen eines Algorithmus für die Passwortverschlüsselung :
quelle
Nur zu Ihrer Information, dies ist auch auf IBM AIX-Systemen bis Version 7.1 der Fall.
Es ist schon komisch, weil dieses System mit dem ich gearbeitet hat eine Politik , „kann nicht die letzten 10 Passwörter wiederverwenden“, der tut die ganze Passwort Länge beachten Sie, aber dann prüft nur die ersten 8 Zeichen bei der Anmeldung. So können Sie Ihre Passwörter einstellen könnten wie
easypass_%$xZ!01
,easypass_%&ssY!02
,easypass_%$33zoi@@
, ... für jede obligatorische Kennwortänderung, hält effektiveasypass
als Kennwort für Jahre.quelle