最近将许多用户的 Debian 服务器升级到了最新版本。旧服务器使用 MD5 密码哈希(影子密码以 $1$ 开头),新服务器配置为使用 SHA-512。我想将用户从一台服务器迁移到另一台服务器。
有什么方法可以在 /etc/shadow 中同时允许 MD5 和 SH512 哈希值吗?当然,我需要 MD5 哈希值只是为了允许老用户登录,直到他们更改密码并获得 SHA512 哈希值。
我更愿意继续使用 sha512,但希望老用户能够使用旧密码部分登录一次,然后被迫更新密码。现在,/etc/shadow 中旧的基于 md5 的密码根本不允许用户登录(并且只是看起来是不正确的密码)。
有什么帮助吗?
答案1
将以下行添加到您的/etc/pam.d/passwd
password required pam_unix.so md5,sha512 shadow nullok rounds=65536
然后重新生成您的密码。
sudo passwd $USER
注意:参见碰撞漏洞