Solaris, aynı 8 ilk karakterle farklı bir şifre ile girmeme izin verdi

42

Bunun normal olup olmadığını bilmiyorum, ama olay şu ki diyelim ki gloaiza adında bir Solaris kullanıcısı var ve şifresi password2getin

PuTTY ile sunucuya giriş yapıyorum, sadece 192.168.224.100'ü koydum ve bir kullanıcı isteyen bir pencere açıyor , bu yüzden gloaiza yazıyorum , sonra bir şifre soruyor ve hadi yanlışlıkla password2geti yazdım ve işe yaradı! Sunucudayım!

Bu normal mi? Ayrıca password2getin2 gibi bir şey koyarsam çalışır .

Ben anadili İngilizce değilim, bu yüzden, anlayamadığınız bir şey olursa lütfen bana sorun

İşletim Sistemi: Oracle Solaris 10 1/13

solaris password

— gloaiza
kaynak

4

Sekiz karakterin altında ne olur? Seni passworkiçeri sokuyor mu ?

— 35'te

Tamam @thrig, benim asıl şifre 9 karakter uzunluğunda, bu yüzden izin şifresi demek pass2word, o zaman çalışır pass2wor, pass2word1, pass2worr1her şey ile çalışır üzerinde ... sanırım, ve dolayısıyla yazdığınız kez pass2wor Bence büyük olduğunu sanmıyorum sorun, ama ya da iyi değil.

— gloaiza

3

İlk 8 karakteri doğru kullandığınız sürece, içeri girmenize izin verir. Ne yazık ki, eski solaris sürümlerinde şifrelemeyi kullanarak bir şifre oluşturmak, 9. ve daha sonraki karakterleri göz ardı etmek.

— MelBurslan

14

Buradaki tüm gömülü aygıtlar için nazik bir hatırlatma, "bu benim sistemimde asla olamazdı :" busyboxderken, sizin .config ve kendinizde etkin olan tüm doğru kripto seçeneklerine sahip değilseniz, DES'e sessizce geri dönecek libc. Belki tekrar kontrol etmek bugün bir dakikanızı ayırın passwd/ shadowdosyaları? ;)

11

@ drewbenn - kim sessizce aşağılayıcı güvenliği iyi bir fikir olduğunu düşündü ki ? İsa aşkına.

— Davor,

65

İşletim sistemi, bir depolayan şifrenin karmasını içinde /etc/shadow(ya da tarihsel olarak, /etc/passwdya da diğer bazı Unix üzerinde farklı bir konuma varyantları). Tarihsel olarak, ilk yaygın parola hash, parolanın yalnızca ilk 8 karakterini hesaba katan sınırlaması olan DES tabanlı bir şema idi. Ek olarak, bir şifre karma algoritmasının yavaş olması gerekir; DES tabanlı şema icat edildiğinde biraz yavaştı ama günümüz standartlarına göre yetersizdi.

O zamandan beri, daha iyi algoritmalar geliştirildi. Ancak Solaris 10 varsayılan DES temelli şemada varsayılandır. Solaris 11 , modern standartlara uygun yinelenmiş SHA-256 tabanlı bir algoritmaya varsayılandır.

Eski sistemlerle geçmişe uyumluluğa ihtiyacınız yoksa, yinelenmiş SHA-256 programına geçin. Dosyayı düzenleyin /etc/security/policy.confve CRYPT_DEFAULTayarı, 5 olan yerine getirin crypt_sha256. Ayrıca ayarlamak isteyebilirsiniz CRYPT_ALGORITHMS_ALLOWve CRYPT_ALGORITHMS_DEPRECATE.

Yapılandırmayı değiştirdikten sonra passwdşifrenizi değiştirmek için çalıştırın . Bu, şifre karma değerini o anda konfigüre edilmiş şema ile güncelleyecektir.

— Gilles 'SO- şeytan olmayı'
kaynak

1

Cevap için teşekkür ederim. " Eski sistemler ile tarihsel bir uyumluluğa ihtiyacınız yoksa " derken gerçekten demek istedin, demek istediğim ... DES-temelli programa gerçekten ihtiyaç duymak mümkün olabilir ve bazıları için SHA-256'ya geçememek mümkün mü neden mi?

— gloaiza

11

@gloaiza Parola karma dosyanız NIS ile veya gerçekten eski bir işletim sistemi (Solaris 2.x gibi) çalıştıran bir makine ile başka bir yöntemle paylaşılıyorsa). Aksi takdirde, hayır.

— Gilles 'SO- kötülük olmayı'

1

Algoritma 2a (bcrypt) en iyi seçenek olabilir.

— Monica'ya Zarar Vermeyi Durdurun

21

Bu, en azından varsayılan bir Solaris 10 ve daha eski bir yapılandırmada bekleniyor.

Sisteminiz, crypt_unixaslında sekize kadar kullanılan karakter sayısını sınırlayan eski Unix algoritmasını kullanıyor .

Bu passwdkılavuz sayfasında belgelenmiştir :

Aşağıdaki gereklilikleri karşılamak için şifreler oluşturulmalıdır:

  Her şifre, ŞİFRE öğesinin tanımlandığı ŞİFRE karakterine sahip olmalıdır.
  / etc / default / passwd ve 6'ya ayarlanmıştır. PASSLENGTH ayarını sekizden fazla
  karakter, policy.conf (4) 'u destekleyen bir algoritma ile yapılandırılmasını gerektirir.
  sekiz karakterden büyük .

Bu algoritma aslında eskimiş olduğundan. Dosyayı crypt.confayarlayarak CRYPT_ALGORITHMS_DEPRECATEve CRYPT_DEFAULTgirerek daha iyi bir şeye geçmelisiniz ( manuel sayfada listelenen değerler ) /etc/security/policy.conf.

Bkz http://docs.oracle.com/cd/E19253-01/816-4557/concept-63/index.html

— jlliagre
kaynak

1

"Daha yüksek" daha iyi olduğu doğru değildir. Algoritma 2a(bcrypt) en iyisi olabilir .

— Monica'ya Zarar Vermeyi Durdurun

@OrangeDog Point alındı, tavsiyeler kaldırıldı

— jlliagre 15

7

Oracle forumlarında bu konuya bakın :

Tanımladığınız davranış, varsayılan "crypt_unix" şifre şifreleme şemasını kullanırken beklenir. Bu şema bir parolanın yalnızca ilk sekiz karakterini şifreleyecek ve bu nedenle parolanın tekrar girildiği sırada eşleşmesi gereken yalnızca ilk sekiz karakterin eşleşmesi gerekecek. Bu bir "hata" değil, algoritmanın bilinen bir sınırlamasıdır - büyük ölçüde geriye dönük uyumluluk için korunur ve ne yazık ki yüklendiğinde Solaris sistemlerinde varsayılan olarak ayarlanır.

Bunu çözmek için, işletim sisteminizi crypt_unix yerine MD5 veya Blowfish algoritmalarını kullanacak şekilde ayarlayın.

Bu /etc/security/policy.conf dosyasında değiştirilebilir. Crypt algoritmalarına izin vermek için ayarlayabilirsiniz, ayrıca "crypt_unix" algoritmasının kullanımını engelleyen (yasaklayan) ve varsayılanı daha güvenli bir olana değiştiren bir ayar da vardır.

Daha fazla bilgi için "Solaris 10 Sistem Yönetim Kılavuzu: Güvenlik Hizmetleri" bölümüne bakın.

Ayrıca bkz . Şifre Algoritmasının Değiştirilmesi (Görev Haritası) ve özellikle Şifre Şifrelemesi için Algoritmanın Belirlenmesi :

Seçtiğiniz şifreleme algoritması için tanımlayıcıyı belirtin.

...

Tanımlayıcıyı /etc/security/policy.conf dosyasına CRYPT_DEFAULT değişkeni için değer olarak yazın.

...

Algoritma seçeneklerini yapılandırma hakkında daha fazla bilgi için policy.conf(4)man sayfasına bakın.

— Andrew Henle
kaynak

2

Sadece FYI, bu aynı zamanda 7.1 sürümüne kadar IBM AIX sistemlerinde de oluyor.

Birlikte çalıştığım bu sistem bir politika "Son 10 şifreleri herhangi yeniden kullanamazsınız" çünkü Çok komik yapar hesaba bütün şifre uzunluğu içine take ama sonra sadece kontroller ilk 8 karakterden zaman içinde günlük. Eğer şifrelerinizi ayarlayabilirsiniz Yani gibi easypass_%$xZ!01, easypass_%&ssY!02, easypass_%$33zoi@@, ... her zorunlu şifre değişikliği için etkili tutarak easypassyıllarca şifreniz olarak.

— Walen
kaynak