sslug-teknik team mailing list archive

[Troels Arvin <tarvin@xxxxxxxxx>]

Mark Holm wrote:
> Jeg mener på et
> tidspunkt at være stødt på en pakke, der gjorde det muligt at
> anvende op til 16 tegn i et password.
En af nyskabelserne i RH 6 er muligheden af at bruge MD5-passwords, som
betyder, at op til 256 tegn får betydning, jvf.
ftp://SunSITE.auc.dk/pub/os/linux/redhat/current/i386/doc/rhmanual/manual/doc010.htm#s1.1.0.5
og/eller
ftp://SunSITE.auc.dk/pub/os/linux/redhat/current/i386/doc/rhmanual/manual/doc061.htm#f74

I praksis er det noget, der foregår gennem PAM-sikkerhedsarkitekturen,
jvf.
http://www.dk.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam-6.html og
søg på "md5".

En /etc/pam.d/passwd fil, hvor md5 og shadow-passwords er aktiverede:

auth     required /lib/security/pam_pwdb.so shadow nullok
account  required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so retry=3
password required /lib/security/pam_pwdb.so use_authtok nullok md5
shadow

En /etc/pam.d/login fil med md5+shadow:

auth     required /lib/security/pam_securetty.so
auth     required /lib/security/pam_pwdb.so shadow nullok
auth     required /lib/security/pam_nologin.so
account  required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so nullok use_authtok md5
shadow
session  required /lib/security/pam_pwdb.so
session  optional /lib/security/pam_console.so

Jeg fatter ikke alt i disse filer. Men jeg kan da genkende "md5" som
noget nyt ;-)

Tilsyneladende giver md5 bagudkompatibilitet: Hvis folk har valgt
password under det gammeldaws system (og deres password derfor er
krypteret på den oldfashioned way), behøver de ikke skulle vælge
password igen efter opgradering til Red Hat 6. Men næste gang de vælger
nyt password, vil den nye, forbedrede kryptering træde i kraft, og hvis
de vælger et langt password, bliver tegnene efter tegn nr. 8 derfor ikke
længere uden betydning.

-- 
Troels Arvin
Copenhagen, Denmark
http://www.mdb.ku.dk/tarvin/