Pure-ftpd 与 MySQL - Crypt() 无法使用散列密码登录

tag-icon tag-icon mysql ftp authentication encryption pureftpd
Pure-ftpd 与 MySQL - Crypt() 无法使用散列密码登录

我正在使用 pure-ftpd 和 mysql 来验证用户。

这是我的 mysql.conf

MYSQLServer     localhost
MYSQLPort       3306
MYSQLSocket     /var/run/mysqld/mysqld.sock
MYSQLUser       user
MYSQLPassword   pwd
MYSQLDatabase   my_db
MYSQLCrypt      crypt()
MYSQLGetPW      SELECT password FROM ftp_users WHERE login="\L"
MYSQLGetUID     SELECT u_id FROM ftp_users WHERE login="\L"
MYSQLGetGID     SELECT g_id FROM ftp_users WHERE login="\L"
MYSQLGetDir     SELECT dir FROM ftp_users WHERE login="\L"
MySQLGetQTAFS   SELECT quota_files FROM ftp_users WHERE login="\L"
MySQLGetQTASZ  SELECT quota_size FROM ftp_users WHERE login="\L"
MySQLGetRatioUL SELECT ul_ratio FROM ftp_users WHERE login="\L"
MySQLGetRatioDL SELECT dl_ratio FROM ftp_users WHERE login="\L"
MySQLGetBandwidthUL SELECT ul_bandwidth FROM ftp_users WHERE login="\L"
MySQLGetBandwidthDL SELECT dl_bandwidth FROM ftp_users WHERE login="\L"

然后我尝试重新启动 pure-ftpd-mysql 和 pure-ftpd

我的表有一个字段,其中 pwd 为

password    varchar(255)

当我插入一个带有纯文本密码的用户时,我可以使用登录名和密码正常登录。当我插入带有“lol”的哈希(例如 SHA512 或 BCrypt 哈希)时。它不允许我使用密码“lol”登录。

BCrypt $2a$06$JrvxpMAvi6MnRSIvZQMMxOffIDLtEP7lrKNe0k0CTsK51v4zujfpS
SHA512 3DD28C5A23F780659D83DD99981E2DCB82BD4C4BDC8D97A7DA50AE84C7A7229A6DC0AE8AE4748640A4CC07CCC2D55DBDC023A99B3EF72BC6CE49E30B84253DAE

但是,如果我粘贴哈希值,它就会成功登录,因为我假设它将其作为纯文本值。

我尝试将 mysql.conf 更改为

MYSQLCrypt      crypt

但这完全破坏了它。许多网站都说要使用 crypt,但我的配置文件中的注释将 crypt() 列为选项之一。

我已阅读过许多帖子和论坛,但我发现最接近的是这个,但它根本不起作用。

https://serverfault.com/a/630806/302696

pure-ftpd 的启动项如下

Starting ftp server: Running: /usr/sbin/pure-ftpd-mysql -l mysql:/etc/pure-ftpd/db/mysql.conf -l puredb:/etc/pure-ftpd/pureftpd.pdb -l puredb:/etc/pure-ftpd/pureftpd.pdb -E -F /etc/pure-ftpd/fortunes.txt -j -H -J ALL:!aNULL:!SSLv3 -u 1000 -8 UTF-8 -A -O clf:/var/log/pure-ftpd/transfer.log -B

所以基本上它没有使用 crypt 或者我使用不正确。我以为它可以使用 mysql 原生处理 SHA512,但事实并非如此。我能想到的其他事情是我需要带有配置的代码,但我不明白为什么它需要任何东西。

答案1

--- 开始 tl;dr ---

假设你的 Pure-FTPd 在装有 glibc 2.7+ 的 Linux 主机上运行:

  • 使用MySQLCrypt crypt-没有括号

  • 在运行 Pure-FTPd 的同一系统上运行此 Python 3 单行命令:

    python3 -c 'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))'

  • 输入所需的密码。

  • 将加密后的密码(以 开头$6$)复制并粘贴到数据库中。

--- 结束 tl;dr ---

非明文背后的想法MySQLCrypt是完全禁用明文密码。括号中MySQLCrypt crypt()仍然接受哈希作为明文密码,这表明 Pure-FTPd 将字符串crypt()视为未知的加密方法,并完全忽略该指令,而是使用默认的明文加密方法。不带括号的MySQLCrypt crypt“破坏”明文登录实际上是朝着正确方向迈出的一步:它禁用了明文登录,并开始将数据库中的密码视为仅加密的密码。

现在,问题是如何正确地将密码哈希化为可接受的形式。根据src/mysql.cPure-FTPd 的说明,MySQLCrypt crypt这将导致它使用crypt()可接受形式的函数。取决于实施例如,如果你在装有 glibc 2.7 或更高版本的 Linux 机器上运行 Pure-FTPd,则有 4 种形式可以接受:

  • SHA-512(以 开头$6$
  • SHA-256(以 开头$5$
  • MD5(以 开头$1$
  • 传统 DES(以字母数字开头);但可能应该避免

有几种方法可以调用该系统crypt();我首选的方法是 Python 3 的内置crypt模块。这个简短的脚本将执行我们的命令:

import sys
from crypt import crypt, METHOD_SHA512
from getpass import getpass

print(crypt(getpass("Password: "), METHOD_SHA512))

或者,如果您更喜欢可三次单击,复制粘贴友好的单行代码:

python3 -c 'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))'

示例运行:

root@ip-172-16-16-117:~# python3 -c 'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))'
Password: 
$6$vTbR62VMHKQNqnEk$TmfeMj/Q6G62RM.hi7liD0IrEvtUp2.jgXbfVRPone/sFTeOwJKftTrrW9j8Hd8.kJsF36OKwP4xHrnURGZTo/

为了使用相同的实现,必须在运行 Pure-FTPd 的同一主机上运行此命令crypt()

以 开头的长行$6$是加密后的密码。$6$前缀本身将密码标记为使用 SHA-512 进行哈希处理。如果系统crypt()不支持 SHA-512,则输出不会以 开头$6$;在这种情况下,应使用其他算法。例如,在 macOS 上,可能的输出是$6UCLzI8sPv16。请注意,它非常短,并且在 后面也缺少美元符号$6:这是因为 macOS 实现的crypt()不支持 SHA-512。

相关内容