우리 조직에서는 사전 해시된 비밀번호 값을 많은 로컬 계정에 배포하고 있습니다. 현재 이러한 계정의 비밀번호는 Blowfish( $2a$[...]) 또는 Blowfish-8비트( )를 사용하여 $2y$[...]해시됩니다 . 우리가 사용한 다른 배포판은 이를 처리할 수 있지만 RedHat/CentOS는 이를 처리할 수 없는 것 같습니다.glibc에서 Blowfish에 대한 고의적인 지원 부족그게 다야.
표준 업데이트 채널을 통해 서비스 가능성을 심각하게 손상시키지 않고 CentOS/RedHat 시스템이 Blowfish 해시를 처리하도록 할 수 있는 방법이 있습니까?
간단한 시작 구성과 최소한의 패키지 선택을 사용하여 CentOS 7.2를 배포합니다.
%packages --nobase --ignoremissing
@core
kexec-tools
%end
답변1
Ulrich Schwarz가 질문에 대한 의견에서 사용자 정의 PAM 모듈을 언급한 후 저는 SLES(Blowfish를 기본값으로 설정)가 무엇을 사용하는지 알아보기로 했습니다.
이는 별도의 모듈이며 pam_unix2.soCentOS 시스템의 어떤 것과도 충돌하지 않는 것으로 나타났습니다. 개념 증명으로 /lib64/security/pam_unix2.soSLES 11 SP4 시스템을 /usr/lib64/security/pam_unix2.soCentOS 호스트에 복사하고 해당 종속성을 다운로드하여 설치했습니다.libxcryptSuSE 패키지이기도 하지만 이러한 좁은 목적을 위해 CentOS 7에서 사용할 수 있습니다.
다음에 추가
auth sufficient pam_unix2.so
/etc/pam.d/system-auth콘솔에서 Blowfish 암호화된 비밀번호에 대해 인증할 수 있습니다 .
authconfig다음에 호출할 때 구성이 손상되지 않도록 하려면 /etc/pam.d/system-auth가리키는 기호 링크를 /etc/pam.d/system-auth-ac로 바꿔야 합니다 /etc/pam.d/system-auth-ac.
요점: SuSEpam_unix2모듈은 Blowfish 해시를 허용하는 가장 덜 방해적인 방법인 것 같습니다. 하지만 이는 보안 권고를 모니터링해야 함을 의미하기도 합니다.pam_unix2그리고libxcrypt각기.