Solaris에서 동일한 8 개의 첫 문자를 사용하여 다른 비밀번호로


42

이것이 정상적인 지 모르겠지만 문제는 gloaiza 라는 Solaris 사용자 가 있고 암호는 password2getin 이라고 가정 해 봅시다.

PuTTY를 사용하여 서버에 로그인하고 192.168.224.100을 입력하면 사용자에게 묻는 창을 표시하므로 gloaiza를 입력 한 다음 암호를 묻고 password2geti 를 실수로 입력한다고 가정 해 보겠습니다 . 나는 서버에있다!

그게 정상인가요? password2getin2 와 같은 것을 넣으면 작동 합니다 .

나는 영어 원어민이 아니기 때문에 이해할 수없는 것이 있으면 저에게 물어보십시오.

운영체제 : Oracle Solaris 10 1/13


4
8 자 미만은 어떻게 되나요? 당신을 passwork데려 오나요 ?
thrig

@thrig 좋아, 내 실제 암호는 9 자이므로 암호가 pass2word이고 pass2wor,, pass2word1등으로 작동 한다고 가정 해 봅시다. 입력 pass2worr1하면 모든 것이 작동 pass2wor 한다고 생각합니다. 문제도 있지만 좋지 않습니다.
gloaiza

3
처음 8자를 올바르게 입력하면 가능한 한 오래 사용할 수 있습니다. 불행히도, 비밀번호를 생성하면 이전 solaris 릴리스에서 암호화를 사용하여 문자 9 이상을 무시합니다.
MelBurslan

14
생각 여기에 모두 포함 된 DEVS 젠틀 알림 "이에 일어날 수 없었다 시스템 :" busybox당신이 모든 권리 암호화 옵션이없는 경우 자동으로 DES로 다시 떨어질 수있게 그 .config 당신 libc. 어쩌면 오늘 passwd/ shadow파일 을 다시 확인하는 데 시간이 걸릴 까요? ;)

11
@drewbenn-도대체 보안 을 자동으로 저하시키는 것이 좋은 생각 이라고 누가 생각 했습니까? 예수 그리스도.
Davor

답변:


65

운영 체제는 저장 암호 해시 에서을 /etc/shadow(또는, 역사적으로, /etc/passwd또는 다른 유닉스의 다른 위치가 변형). 역사적으로, 첫 번째 널리 퍼진 비밀번호 해시는 DES 기반 체계 였는데, 이는 비밀번호의 처음 8 자만 고려한다는 제한이있었습니다. 또한 암호 해싱 알고리즘이 느려 야합니다. DES 기반 체계는 발명되었을 때 다소 느 렸지만 오늘날의 표준으로는 충분하지 않습니다.

그 이후로 더 나은 알고리즘이 고안되었습니다. 그러나 Solaris 10의 기본값은 이전 DES 기반 체계입니다. Solaris 11의 기본값은 최신 표준 인 반복 SHA-256 기반 알고리즘입니다.

고대 시스템과의 기록 호환성이 필요하지 않은 경우 반복 SHA-256 구성표로 전환하십시오. 파일을 편집하고 를 나타내는 5로 설정을 /etc/security/policy.conf변경하십시오 . 및 을 설정할 수도 있습니다 .CRYPT_DEFAULTcrypt_sha256CRYPT_ALGORITHMS_ALLOWCRYPT_ALGORITHMS_DEPRECATE

구성 passwd을 변경 한 후 실행 하여 비밀번호를 변경하십시오. 현재 구성된 구성표로 비밀번호 해시를 업데이트합니다.


1
답변 감사합니다. " 고대 시스템과의 역사적 호환성이 필요하지 않다" 말했을 때 실제로 의미하는 바는 ... DES 기반 체계가 실제로 필요하며 SHA-256으로 변경할 수없는 경우도 있습니다. 이유?
gloaiza

11
@gloaiza 비밀번호 해시 파일이 NIS 또는 다른 방법으로 공유되어 진정한 고대 운영 체제 (Solaris 2.x 등)를 실행하는 시스템과 공유 될 수 있습니다. 그렇지 않으면 아닙니다.
Gilles 'SO- 악마 그만해'


21

이것은 최소한 기본 Solaris 10 및 이전 구성에서 예상됩니다.

시스템에서 레거시 Unix crypt_unix알고리즘을 사용하고 있으며 실제로 사용되는 문자 수를 8 자로 제한합니다.

passwd매뉴얼 페이지에 설명되어 있습니다 .

다음 요구 사항을 충족하도록 비밀번호를 구성해야합니다.

  각 비밀번호에는 PASSLENGTH 문자가 있어야합니다. 여기서 PASSLENGTH는
  / etc / default / passwd이며 6으로 설정 되어 있습니다. PASSLENGTH를 8 이상으로 설정
  문자를 지원하는 알고리즘으로 policy.conf (4)를 구성해야합니다.
  8자를 초과합니다 .

이 알고리즘은 본질적으로 더 이상 사용되지 않습니다. 파일 crypt.conf을 설정 CRYPT_ALGORITHMS_DEPRECATE하고 CRYPT_DEFAULT항목 을 설정하여 더 나은 것으로 ( 설명서 페이지에 나열된 사용 가능한 값) 전환해야 /etc/security/policy.conf합니다.

http://docs.oracle.com/cd/E19253-01/816-4557/concept-63/index.html을 참조 하십시오.


1
"높을수록 좋다"는 것은 사실이 아닙니다. 알고리즘 2a(bcrypt)이 가장 좋습니다 .
정지에 지장을주지 모니카

@OrangeDog 점 찍고, 조언 제거
jlliagre

7

Oracle 포럼에서이 스레드를 참조하십시오 .

설명하는 동작은 기본 "crypt_unix"비밀번호 암호화 체계를 사용할 때 예상됩니다. 이 체계는 암호의 처음 8자를 암호화하므로 암호를 다시 입력 할 때 처음 8자가 일치해야합니다. "버그"는 아니지만 알고리즘의 알려진 제한 사항-이전 버전과의 호환성을 위해 주로 유지되며 불행히도 설치시 Solaris 시스템에서 기본값으로 설정됩니다.

이 문제를 해결하려면 OS가 crypt_unix 대신 MD5 또는 Blowfish 알고리즘을 사용하도록 설정하십시오.

이것은 /etc/security/policy.conf 파일에서 변경할 수 있습니다. 암호화 알고리즘을 허용하도록 설정할 수 있으며 "crypt_unix"알고리즘의 사용을 더 이상 사용하지 않도록 설정하고 기본값을보다 안전한 것으로 변경하는 설정도 있습니다.

자세한 내용은 "Solaris 10 시스템 관리 설명서 : 보안 서비스"를 참조하십시오.

비밀번호 알고리즘 변경 (작업 맵) 및 특히 비밀번호 암호화 알고리즘을 지정하는 방법을 참조하십시오 .

선택한 암호화 알고리즘의 식별자를 지정하십시오.

...

/etc/security/policy.conf 파일에서 CRYPT_DEFAULT 변수의 값으로 식별자를 입력하십시오.

...

알고리즘 선택 구성에 대한 자세한 내용은 policy.conf(4)매뉴얼 페이지를 참조하십시오.


2

참고로, 이는 버전 7.1까지 IBM AIX 시스템에서도 발생합니다.

내가 함께 일한이 시스템은 정책 "지난 10 암호의 다시 사용할 수 없습니다"때문에 그것은 재미 않는 계정 전체 암호 아이폰에 고려를하지만, 만 확인 처음 8 자 할 때의 기록. 당신이 당신의 암호를 설정할 수 있도록 같은 easypass_%$xZ!01, easypass_%&ssY!02, easypass_%$33zoi@@, ... 모든 필수 비밀번호 변경을 위해 효과적으로 유지 easypass년 동안 암호로.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.