Je ne sais pas si c'est normal, mais le problème est que, disons, j'ai un utilisateur Solaris appelé gloaiza et que son mot de passe est password2getin
Je me connecte au serveur avec PuTTY, je viens de mettre 192.168.224.100 et une fenêtre demandant un utilisateur, je tape donc gloaiza , puis il demande un mot de passe et disons que je tape password2geti par erreur, et cela a fonctionné! Je suis dans le serveur!
Est-ce normal? Cela fonctionne aussi si je mets quelque chose comme password2getin2 .
Je ne parle pas anglais, donc, si vous ne comprenez pas quelque chose, demandez-le-moi.
Système d'exploitation: Oracle Solaris 10 1/13
passwork
que vous entrez?pass2word
, il travaille avecpass2wor
,pass2word1
,pass2worr1
et ainsi de suite ... Je pense que cela fonctionne avec tout une fois que vous tapezpass2wor
je ne pense pas que ce soit un grand problème, mais ce n’est pas bon non plus.busybox
retombera en silence sur DES si vous n’avez pas toutes les bonnes options de crypto activées dans son.config
et votrelibc
. Peut-être prenez une minute aujourd'hui pour vérifier vos fichierspasswd
/shadow
? ;)Réponses:
Le système d'exploitation stocke un hachage du mot de passe dans
/etc/shadow
(ou, historiquement/etc/passwd
; ou à un emplacement différent sur certaines autres variantes Unix). Historiquement, le premier hachage de mot de passe répandu était un schéma basé sur DES, avec la limitation qu'il ne tenait compte que des 8 premiers caractères du mot de passe. De plus, un algorithme de hachage de mot de passe doit être lent; le système basé sur le DES était un peu lent quand il a été inventé mais est insuffisant par rapport aux normes actuelles.Depuis lors, de meilleurs algorithmes ont été conçus. Mais Solaris 10 utilise par défaut le schéma historique basé sur DES. Solaris 11 utilise par défaut un algorithme basé sur le SHA-256 itéré, conforme aux normes en vigueur.
Sauf si vous avez besoin de la compatibilité historique avec les anciens systèmes, passez au schéma SHA-256 itéré. Éditez le fichier
/etc/security/policy.conf
et changez leCRYPT_DEFAULT
réglage à 5 qui correspond àcrypt_sha256
. Vous pouvez également vouloir définirCRYPT_ALGORITHMS_ALLOW
etCRYPT_ALGORITHMS_DEPRECATE
.Une fois que vous avez modifié la configuration, exécutez
passwd
pour changer votre mot de passe. Ceci mettra à jour le hachage du mot de passe avec le schéma actuellement configuré.la source
Cela est prévu, du moins sur une configuration Solaris 10 et plus ancienne par défaut.
Votre système utilise l'
crypt_unix
algorithme Unix hérité , qui limite en effet le nombre de caractères utilisés à huit.Ceci est documenté dans la
passwd
page de manuel :Comme cet algorithme est essentiellement obsolète. Vous devriez passer à quelque chose de mieux (valeurs disponibles répertoriées dans la
crypt.conf
page de manuel) en définissant les entréesCRYPT_ALGORITHMS_DEPRECATE
etCRYPT_DEFAULT
du/etc/security/policy.conf
fichier.Voir http://docs.oracle.com/cd/E19253-01/816-4557/concept-63/index.html
la source
2a
(bcrypt) peut être le meilleur .Voir ce fil sur les forums Oracle :
Voir aussi Modification de l'algorithme de mot de passe (liste des tâches) et en particulier Procédure de spécification d'un algorithme pour le chiffrement de mot de passe :
la source
Juste pour votre information, cela se produit également sur les systèmes IBM AIX jusqu'à la version 7.1.
Il est drôle, parce que ce système j'ai travaillé avec a un « ne peut pas réutiliser l' un des 10 derniers mots de passe » politique qui ne prennent en compte l'ensemble mot de passe longueur, mais ne vérifie que les 8 premiers caractères lors de la connexion. Vous pouvez définir vos mots de passe comme
easypass_%$xZ!01
,easypass_%&ssY!02
,easypass_%$33zoi@@
, ... pour chaque changement de mot de passe obligatoire, en gardant efficacementeasypass
que votre mot de passe depuis des années.la source