我最近将拥有许多用户的 Debian 服务器升级到最新版本。旧服务器使用 MD5 密码哈希(影子密码以 $1$ 开头),而新服务器配置为使用 SHA-512。我想将用户从一台服务器迁移到另一台服务器。
有没有办法在 /etc/shadow 中同时允许 MD5 和 SH512 哈希?当然我需要 MD5 哈希,只是为了允许老用户登录,直到他们更改密码并获取 SHA512 哈希。
我更愿意继续使用 sha512,但希望老用户能够使用旧密码部分登录一次,然后被迫更新密码。目前,/etc/shadow 中基于 md5 的旧密码根本不允许用户登录(而且看起来是错误的密码)。
有什么帮助吗?
答案1
更改默认值不会影响现有哈希的有效性。因此,只要哈希类型仍受支持,您就可以“混合搭配”类型,并且它们都应该能够用于身份验证。
更改默认哈希类型后,当用户更新密码时,密码将使用新的哈希类型存储 - 提供您正在寻找的迁移路径。