Hallo

Ich habe ein Problem mit meinem Passwort. Es kann nur 8 Zeichen lang sein, der Rest wird einfach ignoriert! Ich glaube, dass mein System immernoch mit dem alten crypt() arbeitet.

Wo kann ich das ändern? Welche alternativen gibt es zu crypt() ?


MFG: Linuxexplorer

wie äußert sich das, dass dein pw nur 8 zeichen lang sein darf. werden die pws tatsächlich ignoriert oder bekommst du nur einen warnhinweiß. mit welchem programm erstellst du die passwörter (mit useradd). welceh distribution und welceh version?

joey

Meinst du beim Login?
Wenn bei der Passworteingabe, bei einem einigermaßen aktuellen System, nur 8 Zeichen eingeben kannst, müsste das eigentlich DES sein. Manchmal kann man sich auch aussuchen, dafür MD5 zu nehmen, wo man meht Zeichen wählen kann und das sicherer ist!

cya Immortal

Hallo,

Du kannst die Passwortverschlüsselung auf Deinem System wie folgt umstellen, indem Du die Datei /etc/pam.d/passwd modifizierst.
Da sollte für md5 in etwa Folgendes drinstehen:
#%PAM-1.0
auth required /lib/security/pam_unix.so nullok
account required /lib/security/pam_unix.so
password required /lib/security/pam_pwcheck.so nullok md5 use_cracklib
password required /lib/security/pam_unix.so nullok md5 use_first_pass use_authtok
session required /lib/security/pam_unix.so
Anschließend änderst Du die Passworter aller Benutzer beispielsweise über passwd und Du bist fertig.

MD5-gehashte Paßwörter können im Gegensatz zu den DES-encrypted (mittels crypt()) Paßwörtern beliebig lang sein.

Harry

Mal 'ne Frage zur Standard-Verschlüsselung. SuSE (8) setzt doch standardmäßig Shadow-Passwörter ein, sind diese - ohne Anpassung der Konfigurationsfiles - DES-verschlüsselt?

Grüße, e2e4

Ja sind sie.

Harry

ähm, moment....

suse 8 fragt bei der installation zwecks md5...
wer die alte methode wählt, is selber schuld :)

matze

Ja genau.
Während der Installation hat man die Wahl und kann auf md5 umschalten. DES ist nichtdestotrotz der Standard und wer an dieser Stelle nicht vom Standard abweicht, der muß halt zunächst mit den - aus heutiger Sicht bewertbaren - Unzulänglichkeiten von der crypt()-Funktion mit DES leben.

SuSE 8.1 bietet übrigens als Alternative neben md5 auch Blowfish zur Verschlüsselung von Passwörtern an.

Harry

Danke für die Informationen.

über yast habe ich auf PAM umgestellt - gibt es auch eine Möglichkeit dies via Shell-Befehl zu erledigen?

Wenn ich DES einsetze sind die Einstellungen der Datei /etc/login.def von Interesse und wenn ich PAM einsetze /etc/pam.d/passwd, oder?

Grüße, e2e4

Hallo,

ich glaube, Du bringst da jetzt zwei ganz unterschiedliche Dinge durcheinander.
PAM ist völlig unabhängig von DES, MD5, Blowfish oder sonst einer anderen Paßwortverschlüsselung.

PAM beschreibt lediglich die Authentifizierungs-API zwischen den Applikation die eine Authentifizierung durchführen wollen und den Authentifizierungsdaten (shadow, LDAP, SMB etc.).

Über den YaST wirst Du wohl kaum auf PAM umgestellt haben, da PAM seit einigen Jahren in der Linux-Welt als Standardschnittstelle etabliert ist. Vielleicht hast Du im YaST die Paßwortverschlüsselung auf MD5 oder DES umgestellt und so einen Teil der PAM-Konfiguration verändert?

Harry

Ich habe mich wirklich sehr ungeschickt ausgedrückt ;)

Richtig ist, daß ich mit yast die Passwortverschlüsselung auf MD5 getätigt habe. Da ich PAM für die Authentifizierung von Passwörtern einsetze ist aber jetzt in dem Zusammenhang nur noch die Datei /etc/pam.d/passwd von Interesse (und die Parameter von /etc/login.def entfallen), oder?

Grüße, e2e4

Hallo,

die /etc/pam.d/passwd definiert grundsätzlich das PAM-Verhalten des passwd-Programmes.
Abhängig davon, welche PAM-Module in dieser Datei Verwendung finden, werden für die einzelnen PAM-Module zusätzlich in /etc/security/<PAM-Modul>.conf noch weitere Parameter gesetzt.

Die /etc/login.defs wird unbeschadet vom PAM-System beispielsweise beim Login durch das Programm /bin/login ausgewertet. Ist ein bissi kompliziert, aber die /etc/login.defs entfällt nicht durch den Einsatz von MD5-Hashes bei passender Konfiguration der PAM-Module für /usr/bin/passwd.

Harry

Hm, irgendwo beisst sich bei mir noch was, in /etc/login.defs wird z.B. mittels

PASS\MIN\LEN 8

die Mindestlänge des Passwortes festgelegt. Setze ich jetzt PAM für das Verhalten von passwd ein, so wird mittels

password required pam\cracklib.so retry=3 minlen=6 difok=3

in /etc/pam.d/passwd dem Wert minlen=6 ein neue Beschränkung getätigt.

Kann ich davon ausgehen, dass beim Einsatz von PAM der Wert aus /etc/pam.d/passwd der verwertete ist?

Grüße, e2e4

Warum testest Du das nicht einfach mal? :D

Harry

Hab's getestet ;) :D

Die Einstellungen in /etc/pam.d/passwd werden berücksichtigt.

Grüße, e2e4

mehr dazu unter:

/usr/share/doc/packages/pam :)

mfg,
matze