/etc/shadow 接受 MD5 和 SHA512 哈希值

/etc/shadow 接受 MD5 和 SHA512 哈希值

最近将许多用户的 Debian 服务器升级到了最新版本。旧服务器使用 MD5 密码哈希(影子密码以 $1$ 开头),新服务器配置为使用 SHA-512。我想将用户从一台服务器迁移到另一台服务器。

有什么方法可以在 /etc/shadow 中同时允许 MD5 和 SH512 哈希值吗?当然,我需要 MD5 哈希值只是为了允许老用户登录,直到他们更改密码并获得 SHA512 哈希值。

我更愿意继续使用 sha512,但希望老用户能够使用旧密码部分登录一次,然后被迫更新密码。现在,/etc/shadow 中旧的基于 md5 的密码根本不允许用户登录(并且只是看起来是不正确的密码)。

有什么帮助吗?

答案1

将以下行添加到您的/etc/pam.d/passwd

password        required        pam_unix.so md5,sha512  shadow nullok rounds=65536

然后重新生成您的密码。

sudo passwd $USER

注意:参见碰撞漏洞

相关内容