MD5 Passwörter setzen

[moscher]

Morgen!

Ich hab mal gelesen, dass man die /etc/shadow auch auf md5-Passwörter umstellen kann. Das wäre für mich insofern von Vorteil, weil ich die shadow-Datei dann dynamisch aus der Datenbank erstellen lassen kann.

Ich hab noch mein SUSE 7.1 Originalsystem auf der Platte. Hat das schon mal jemand bei dem System gemacht, und wenn ja - erfolgreich? :-)

MFG
Sebastian Kraus

[kase]

Willst du sowas wirklich machen ?

1. Solltest du bedenken, dass die Shadow Zeilenweise auf die passwd passen muss, und 2., wenn du dir die Shadow mal verhaust, dann hilft nur noch das RescueSystem und Handarbeit.

Wie man es auf md5 PWs umstellet, weiß ich allerdings nicht, ist aber denke ich mal mit google relativ leicht rauszufinden.

[moscher]

's Muss sein. Ausserdem kann man ja z. B. mittels des Apachen ein Script bauen, welches eine Backup-Shadow-Datei wiederherstellt. Weil der Apache läuft ja permanent als Dienst, und ist nur beim Starten auf ein gültiges Konto angewiesen.

Und ich komm nicht drum herum, die dinger umzustellen...


mfg
the_moscher

[kase]

1 min Google missbraucht:

Code: Select all

Die Datei /etc/login.defs     


Ã?ber diese Datei kann das Login-Verhalten der Shadow-Suite konfiguriert werden. Beachten Sie, dass die Parameter MOtd_FILE, DIALUPS_CHECK_ENAB, LASTLOG_ENAB, MAIL_CHECK_ENAB, OBSCURE_CHECKS_ENAB, PORTTIME_CHECKS_ENAB, CONSOLE, SU_WHEEL_ONLY, CRACKLIB_DICTPATH, PASS_CHANGE_trIES, PASS_ALWAYS_WARN, MD5_CRYPT_ENAB, CONSOLE_GROUPS, ENVIRON_FILE, NOLOGINS_FILE, ISSUE_FILE und PASS_MIN_LEN bei Verwendung von Pluggable Authentication Modules von der dortigen Konfiguration überschrieben werden.

Eine Zeile der Datei beginnt mit dem Konfigurationsparameter. Ihm folgt, durch Leerzeichen oder Tabulator(en) getrennt, der Wert. Ein Doppelkreuz leitet einen Kommentar ein, der mit einem Zeilenumbruch endet.

Die nachfolgende Beschreibung enthält nur eine Auswahl aller Parameter. Im Wesentlichen verzichten wir auf die Erläuterung zu Parametern, die in der derzeitigen Implementierung zwar vorhanden, aber deren Anwendung nicht empfohlen wird.

CHFN_AUTH 
         Ist der Wert »yes«, so fordern die Kommandos chsh und chfn die Eingabe des Passworts.
 
CHFN_RESTRICT 
         Dieser Parameter bestimmt, welche Einträge des GCOS-Feldes der /etc/passwd ein normaler Benutzer mit Hilfe von chfn ändern darf. Die vier erlaubten Buchstaben sind: f für den vollständigen Namen, r für die Raumnummer, w für die Bürotelefonnummer und h für die private Telefonnummer. Fehlt dieser Parameter, darf einzig Root Ã?nderungen vornehmen.
 
CLOSE_SESSIONS 
         Bei Verwendung von Pluggable Authentication Modules ermöglicht dieser Parameter dem Kommando login, auf das Ende der Sitzung zu warten und anschließend die PAM-Ressourcen freizugeben (durch Aufruf von pam_close_session(...)). Die meisten PAM-Module räumen selbst auf, aber eben nicht alle (u.a. Kerberos).
 
CONSOLE 
         Root darf sich nur an den hier erwähnten Terminals anmelden. Neben der direkten Angabe zulässiger Terminals kann auch der Pfad zu einer Datei angegeben werden, die die Terminals enthält. Ã?blich ist /etc/securetty.
 
CRACKLIB_DICTPATH 
         Pfad zu den Cracklib-Wörterbüchern.
 
DEFAULT_HOME 
         Die Werte »true« bzw »false« legen fest, ob ein Benutzer sich anmelden darf, falls sein Home-Verzeichnis nicht verfügbar ist (bspw. wenn es per NFS gemountet wird, die Verbindung zum NFS-Server aber nicht hergestellt werden kann).
 
DIALUPS_CHECK_ENAB 
         Eine Datei /etc/dialups kann Terminals enthalten, an denen auf eingehende Anrufe gewartet wird. Zu jedem Terminal kann ein Passwort festgesetzt werden. Steht nun der Parameter auf »yes« wird die Abfrage dieses Passworts vorgenommen.
 
ENVIRON_FILE 
         Die hier angegebene Datei kann einen Satz vordefinierter Umgebungsvariablen enthalten.
 
ENV_PATH 
         Hier wird die initiale Belegung der Variablen PATH vorgenommen. Dieser Eintrag ist zwingend erforderlich, da noch keine Shell aktiv ist und somit noch kein Suchpfad für Programme existiert (login muss bspw. die Shell selbst finden).
 
ENV_ROOTPATH 
         Initiale Belegung von PATH für Root.
 
ERASECHAR 
         Das angegebenem Zeichen ermöglicht das Löschen in einem Terminal. Fehlt die Angabe ist [Backspace] das Löschzeichen.
 
FAILLOG_ENAB 
         Bei »yes« werden fehlgeschlagende Anmeldeversuche in der Datei /var/log/faillog protokolliert.
 
FAIL_DELAY 
         Nach einem fehlgeschlagenen Login-Versuch wird die anegegebene Zeitspanne (in Sekunden) gewartet, bevor ein erneutes Login-Prompt erscheint.
 
GID_MIN, GID_MAX 
         Minimaler und maximaler Wert für eine Gruppennummer, die das Kommando groupadd automatisch kalkulieren darf.
 
ISSUE_FILE 
         Pfadname zu einer Datei, deren Inhalt vor dem Loginprompt angezeigt wird.
 
LASTLOG_ENAB 
         Steht hier »yes«, werden nach erfolgreichem Anmelden Informationen zum Zeitpunkt der letzten Anmeldung und ggf. zu zwischenzeitlichen fehlgeschlagenen Anmeldeversuchen ausgegeben.
 
LOGIN_RETRIES 
         Bei fehlgeschlagenem Anmeldeversuch lässt das Kommando login die angegebene Anzahl erneuter Versuche zu, bis es sich selbst beendet. Bei lokalen Login-Konsolen startet i.d.R. ein getty anschließend erneut den Anmeldevorgang; bei einer Anmeldung übers Netz wird jedoch meist die Verbindung getrennt.
 
LOGIN_TIMEOUT 
         Anzahl Sekunden, die login auf die Eingabe eines Passworts wartet. Nach Ablauf der Zeitspanne gilt der Versuch als gescheitert.
 
MAIL_CHECK_ENAB 
         Steht der Wert auf »yes«, wird ein Benutzer nach dem Login über den Status seiner Mailbox informiert.
 
MAIL_DIR 
         Enthält das Verzeichnis mit den Mailboxen der Benutzer. Das Benutzerkennzeichen wird automatisch ergänzt. Weicht die Namensgebung von diesem üblichen Schema ab, muss die Mailbox-Datei mit MAIL_FILE angegeben werden.
 
MAIL_FILE 
         Enthält die Datei mit der Mailbox eines Benutzers. Sie muss im Heimatverzeichnis des Benutzers liegen; der Pfad zum Heimatverzeichnis wird automatisch ergänzt. Dieser Parameter sollte nicht gleichzeitig mit MAIL_DIR verwendet werden.
 
MD5_CRYPT_ENAB 
         Bei »yes« wird das Passwort nicht per herkömmlichen DES-Algorithmus verschlüsselt, sondern mittels eines MD5-Verfahrens. Somit sind Passwortlängen bis zu 256 Zeichen möglich.
 
MOTD_FILE 
         Enthält den vollständigen Pfad zu einer Datei mit der »Nachricht des Tages«. Mehrere Dateien können - per Doppelpunkt getrennt - angegeben werden. Existieren sie, wird ihr Inhalt nach dem erfolgreichen Anmelden angezeigt.
 
NOLOGINS_FILE 
         Enthält den vollstädnigen Pfad zu einer Datei. Existiert die Datei, ist einzig Root berechtigt, sich am System anzumelden. Anderen Benutzern wird der Zugang verwährt, wobei der Inhalt der Datei angezeigt wird. In den meisten Linux-Konfigurationen wird dasselbe Verhalten durch Anlegen der Datei /ect/nologin erreicht.
 
OBSCURE_CHECKS_ENAB 
         Steht der Wert auf »yes«, wird ein neues Passwort erst akzeptiert, nachdem es einfachen Test unterzogen wurde (minimale Passwortlänge). Führt Root das Kommando passwd aus, wird die Prüfung ausgesetzt.
 
PASS_ALWAYS_WARN 
         Ã?ndert Root ein Passwort, das einer Ã?berprüfung mittels den Mechanismen von OBSCURE_CHECKS_ENAB nicht standhalten würde, wird er gewarnt, falls der Wert des Parameters auf »yes« steht.
 
PASS_CHANGE_trIES 
         Anzahl Versuche, das Passwort zu ändern, bevor passwd abbricht.
 
PASS_MIN_DAYS, PASS_MAX_DAYS 
         Minimale/maximale Zeitspanne, die zwischen zwei Passwortänderungen vergehen muss/darf.
 
PASS_MIN_LEN, PASS_MAX_LEN 
         Mindestlänge bzw. maximale Länge eines Passworts.
 
PASS_WARN_AGE 
         Ab so vielen Tagen vor Erreichen der PASS_MAX_DAYS wird ein Benutzer gewarnt, dass sein Passwort demnächst abläuft.
 
QMAIL_DIR 
         Gibt den Pfad zum Mailverzeichnis bei Verwendung von qmail an.
 
QUOTAS_ENAB 
         Steht hier »yes«, so werden die Werte des GCOS-Feldes der Datei /etc/passwd verwendet, um Limits den jeweiligen Benutzer zu setzen. Selbstverständlich wirkt der Eintrag nur, wenn die /etc/passwd die entsprechenden Angaben auch enthält.
 
SULOG_FILE 
         In diese Datei werden Aktivitäten von su aufgezeichnet. Wird die Datei nicht angegeben, findet keine Protokollierung statt.
 
SYSLOG_SG_ENAB 
         Steht hier »yes«, werden alle Aufrufe von sg über den syslogd protkolliert.
 
SYSLOG_SU_ENAB 
         Steht hier »yes«, werden alle Aufrufe von su über den syslogd protkolliert.
 
TTYGROUP 
         Das Login-Terminal kann mit der angegebenen Gruppe als besitzende Gruppe gestartet werden. In Verbindung mit TTYPERM lassen sich somit die Rechte detaillierter steuern.
 
TTYPERM 
         Die Rechte, mit denen ein Login-Terminal versehen wird. Fehlt der Eintrag, so werden die Rechte intern auf 622 gesetzt. Somit sind andere Benutzer bemächtigt, auf das Terminal zu schreiben (bspw. mit dem Kommando write, talk...).
 
TTYTYPE_FILE 
         Hier wird der Pfad zu einer Datei mit den Terminal-Spezifikationen angegeben. Diese Datei enthält Zeilen, die einem Terminal einen konkreten Typ (»Terminalemulation«) zuordnen. So sind lokale Login-Konsolen (tty1..tty6) meist vom Typ »linux«; Pseudoterminals (ttypX) zur Anmeldung übers Netz verwenden häufig die »vt100«-Emulation.
 
UID_MIN, UID_MAX 
         Minimale bzw. maximale Nummer, die vom Kommando useradd bei der automatischen Vergabe der UID gewählt werden kann.
 
ULIMIT 
         Dateien dürfen maximal diese Größe annehmen.
 
UMASK 
         Die Voreinstellung der Zugriffsrechte für neu erstellte Dateien und Verzeichnisse; siehe umask im Abschnitt Zugriffsrechte.

Ã?brigens 2 sehr interessante Seiten gefunden !

http://www.linuxfibel.de/loginadmin.htm
http://www.linuxfibel.de/useradmin.htm

Aus der 1. stammen auch diese Informationen.