%20%E6%97%A0%E6%B3%95%E4%BD%BF%E7%94%A8%E6%95%A3%E5%88%97%E5%AF%86%E7%A0%81%E7%99%BB%E5%BD%95.png)
我正在使用 pure-ftpd 和 mysql 来验证用户。
这是我的 mysql.conf
MYSQLServer localhost
MYSQLPort 3306
MYSQLSocket /var/run/mysqld/mysqld.sock
MYSQLUser user
MYSQLPassword pwd
MYSQLDatabase my_db
MYSQLCrypt crypt()
MYSQLGetPW SELECT password FROM ftp_users WHERE login="\L"
MYSQLGetUID SELECT u_id FROM ftp_users WHERE login="\L"
MYSQLGetGID SELECT g_id FROM ftp_users WHERE login="\L"
MYSQLGetDir SELECT dir FROM ftp_users WHERE login="\L"
MySQLGetQTAFS SELECT quota_files FROM ftp_users WHERE login="\L"
MySQLGetQTASZ SELECT quota_size FROM ftp_users WHERE login="\L"
MySQLGetRatioUL SELECT ul_ratio FROM ftp_users WHERE login="\L"
MySQLGetRatioDL SELECT dl_ratio FROM ftp_users WHERE login="\L"
MySQLGetBandwidthUL SELECT ul_bandwidth FROM ftp_users WHERE login="\L"
MySQLGetBandwidthDL SELECT dl_bandwidth FROM ftp_users WHERE login="\L"
然后我尝试重新启动 pure-ftpd-mysql 和 pure-ftpd
我的表有一个字段,其中 pwd 为
password varchar(255)
当我插入一个带有纯文本密码的用户时,我可以使用登录名和密码正常登录。当我插入带有“lol”的哈希(例如 SHA512 或 BCrypt 哈希)时。它不允许我使用密码“lol”登录。
BCrypt $2a$06$JrvxpMAvi6MnRSIvZQMMxOffIDLtEP7lrKNe0k0CTsK51v4zujfpS
SHA512 3DD28C5A23F780659D83DD99981E2DCB82BD4C4BDC8D97A7DA50AE84C7A7229A6DC0AE8AE4748640A4CC07CCC2D55DBDC023A99B3EF72BC6CE49E30B84253DAE
但是,如果我粘贴哈希值,它就会成功登录,因为我假设它将其作为纯文本值。
我尝试将 mysql.conf 更改为
MYSQLCrypt crypt
但这完全破坏了它。许多网站都说要使用 crypt,但我的配置文件中的注释将 crypt() 列为选项之一。
我已阅读过许多帖子和论坛,但我发现最接近的是这个,但它根本不起作用。
https://serverfault.com/a/630806/302696
pure-ftpd 的启动项如下
Starting ftp server: Running: /usr/sbin/pure-ftpd-mysql -l mysql:/etc/pure-ftpd/db/mysql.conf -l puredb:/etc/pure-ftpd/pureftpd.pdb -l puredb:/etc/pure-ftpd/pureftpd.pdb -E -F /etc/pure-ftpd/fortunes.txt -j -H -J ALL:!aNULL:!SSLv3 -u 1000 -8 UTF-8 -A -O clf:/var/log/pure-ftpd/transfer.log -B
所以基本上它没有使用 crypt 或者我使用不正确。我以为它可以使用 mysql 原生处理 SHA512,但事实并非如此。我能想到的其他事情是我需要带有配置的代码,但我不明白为什么它需要任何东西。
答案1
--- 开始 tl;dr ---
假设你的 Pure-FTPd 在装有 glibc 2.7+ 的 Linux 主机上运行:
- 使用
MySQLCrypt crypt-没有括号 在运行 Pure-FTPd 的同一系统上运行此 Python 3 单行命令:
python3 -c 'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))'输入所需的密码。
- 将加密后的密码(以 开头
$6$)复制并粘贴到数据库中。
--- 结束 tl;dr ---
非明文背后的想法MySQLCrypt是完全禁用明文密码。括号中MySQLCrypt crypt()仍然接受哈希作为明文密码,这表明 Pure-FTPd 将字符串crypt()视为未知的加密方法,并完全忽略该指令,而是使用默认的明文加密方法。不带括号的MySQLCrypt crypt“破坏”明文登录实际上是朝着正确方向迈出的一步:它禁用了明文登录,并开始将数据库中的密码视为仅加密的密码。
现在,问题是如何正确地将密码哈希化为可接受的形式。根据src/mysql.cPure-FTPd 的说明,MySQLCrypt crypt这将导致它使用crypt()可接受形式的函数。取决于实施例如,如果你在装有 glibc 2.7 或更高版本的 Linux 机器上运行 Pure-FTPd,则有 4 种形式可以接受:
- SHA-512(以 开头
$6$) - SHA-256(以 开头
$5$) - MD5(以 开头
$1$) - 传统 DES(以字母数字开头);但可能应该避免
有几种方法可以调用该系统crypt();我首选的方法是 Python 3 的内置crypt模块。这个简短的脚本将执行我们的命令:
import sys
from crypt import crypt, METHOD_SHA512
from getpass import getpass
print(crypt(getpass("Password: "), METHOD_SHA512))
或者,如果您更喜欢可三次单击,复制粘贴友好的单行代码:
python3 -c 'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))'
示例运行:
root@ip-172-16-16-117:~# python3 -c 'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))'
Password:
$6$vTbR62VMHKQNqnEk$TmfeMj/Q6G62RM.hi7liD0IrEvtUp2.jgXbfVRPone/sFTeOwJKftTrrW9j8Hd8.kJsF36OKwP4xHrnURGZTo/
为了使用相同的实现,必须在运行 Pure-FTPd 的同一主机上运行此命令crypt()。
以 开头的长行$6$是加密后的密码。$6$前缀本身将密码标记为使用 SHA-512 进行哈希处理。如果系统crypt()不支持 SHA-512,则输出不会以 开头$6$;在这种情况下,应使用其他算法。例如,在 macOS 上,可能的输出是$6UCLzI8sPv16。请注意,它非常短,并且在 后面也缺少美元符号$6:这是因为 macOS 实现的crypt()不支持 SHA-512。