Come creare una password con hash SHA-512 per shadow?

Le precedenti domande SF che ho visto hanno portato a risposte che producono password con hash MD5.

Qualcuno ha un suggerimento per produrre una password con hash SHA-512? Preferirei una riga anziché una sceneggiatura ma, se una sceneggiatura è l'unica soluzione, va bene lo stesso.

Aggiornare

Sostituendo le versioni precedenti di py2 con questa:

python3 -c "import crypt;print(crypt.crypt(input('clear-text pw: '), crypt.mksalt(crypt.METHOD_SHA512)))"

Ecco una fodera:

python -c 'import crypt; print crypt.crypt("test", "$6$random_salt")'

Python 3.3+ include mksaltin crypt , il che rende molto più semplice (e più sicuro) l'uso:

python3 -c 'import crypt; print(crypt.crypt("test", crypt.mksalt(crypt.METHOD_SHA512)))'

Se non si fornisce un argomento di crypt.mksalt(poter accettare crypt.METHOD_CRYPT, ...MD5, SHA256, e SHA512), si utilizzerà il più forte disponibile.

L'ID dell'hash (numero dopo il primo $) è correlato al metodo utilizzato:

• 1 -> MD5
• 2a -> Blowfish (non in mainline glibc; aggiunto in alcune distribuzioni Linux)
• 5 -> SHA-256 (dal glibc 2.7)
• 6 -> SHA-512 (dal glibc 2.7)

Ti consiglierei di cercare quali sono i sali e tali e come per i piccoli commenti commentare la differenza tra crittografia e hash.

Aggiornamento 1: la stringa prodotta è adatta per gli script shadow e kickstart. Aggiornamento 2: avviso. Se stai usando un Mac, vedi il commento sull'uso di questo in Python su un Mac in cui non sembra funzionare come previsto.

Su Debian puoi usare mkpasswd per creare password con diversi algoritmi di hashing adatti per / etc / shadow. È incluso nel pacchetto whois (secondo apt-file)

mkpasswd -m sha-512
mkpasswd -m md5

per ottenere un elenco dei tipi di algoritmi di hashing disponibili:

mkpasswd -m help 

HTH

Migliore risposta: grub-cripta

Usage: grub-crypt [OPTION]...
Encrypt a password.

-h, --helpPrint this message and exit
-v, --version           Print the version information and exit
--md5                   Use MD5 to encrypt the password
--sha-256               Use SHA-256 to encrypt the password
**--sha-512             Use SHA-512 to encrypt the password (default)**

Ecco un breve codice C per generare la password SHA-512 su vari sistemi operativi di tipo Unix.

File: passwd-sha512.c

#define _XOPEN_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

int main(int argc, char *argv[]) {
  if ( argc < 3 || (int) strlen(argv[2]) > 16 ) {
    printf("usage: %s password salt\n", argv[0]);
    printf("--salt must not larger than 16 characters\n");
    return;
  }

  char salt[21];
  sprintf(salt, "$6$%s$", argv[2]);

  printf("%s\n", crypt((char*) argv[1], (char*) salt));
  return;
}

compilare:

/usr/bin/gcc -lcrypt -o passwd-sha512 passwd-sha512.c

utilizzo:

passwd-sha512 <password> <salt (16 chars max)>

Perl soluzione one-liner per generare password con hash SHA-512:

perl -le 'print crypt "desiredPassword", "\$6\$customSalt\$"'

Ha lavorato su RHEL 6

Perché non eseguire i seguenti controlli e modifiche ai computer Centos / RHEL per assicurarsi che tutti gli hash delle password per / etc / shadow vengano eseguiti con sha512. Quindi puoi semplicemente impostare il tuo passworkd normalmente con il comando passwd

#Set stronger password hasing
/usr/sbin/authconfig --test | grep sha512 > /dev/null
if [ $? -ne 0 ]; then
echo "Configuring sha512 password hashing"
sudo /usr/sbin/authconfig --enableshadow --passalgo=sha512 --updateall
fi

Ecco un one-liner che utilizza i comandi di shell per creare una password con hash SHA-512 con un salt casuale:

[root @ host] mkpasswd -m sha-512 MyPAsSwOrD $ (openssl rand -base64 16 | tr -d '+ =' | head -c 16)

Appunti

1. Potrebbe essere necessario installare il pacchetto "whois" (Debian, SuSE, ecc.), Che fornisce "mkpasswd".
2. Vedi crypt (3) per i dettagli sul formato delle linee in "/ etc / shadow".

Leggi il commento qui sotto per conoscere le implicazioni di sicurezza di questa risposta

Per quelli della mentalità Ruby ecco un one-liner:

'password'.crypt('$6$' + rand(36 ** 8).to_s(36))

Questo script ha funzionato per me su Ubuntu 12.04 LTS: https://gist.github.com/JensRantil/ac691a4854a4f6cb4bd9

#!/bin/bash
read -p "Enter username: " username
read -s -p "Enter password: " mypassword
echo
echo -n $username:$mypassword | chpasswd -S -c SHA512

Ha le seguenti caratteristiche che mancano ad alcune delle altre alternative:

• Genera il suo sale in modo sicuro. Nessuno dovrebbe fare affidamento sul farlo manualmente. Mai.
• non memorizza nulla nella cronologia delle shell.
• per chiarezza, stampa la password dell'utente generata che può essere utile quando si generano le password di molti utenti.

Gli algoritmi HASH sono per la produzione di digest MESSAGGIO, non sono mai adatti per le password, che dovrebbero usare un qualche tipo di HKDF ( http://tools.ietf.org/rfc/rfc5869.txt ) - vedi PBKDF2 o BCrypt

#!/usr/bin/env python

import getpass

from passlib.hash import sha512_crypt

if __name__ == "__main__":
    passwd = getpass.getpass('Password to hash: ')
    hash = sha512_crypt.encrypt(passwd)

    print hash

Puoi clonarlo dal mio repository github se vuoi: https://github.com/antoncohen/mksha

Non è una fodera, ma potrebbe aiutare qualcuno:

import crypt, getpass, pwd, string, sys, random
randomsalt = ""
password = getpass.getpass()
choices = string.ascii_uppercase + string.digits + string.ascii_lowercase
for _ in range(0,8):
    randomsalt += random.choice(choices)
print crypt.crypt(password, '$6$%s$' % randomsalt)

$ htpasswd -c /tmp/my_hash user1
New password: 
Re-type new password: 
Adding password for user user1
$ cat /tmp/my_hash
user1:$apr1$oj1ypcQz$4.6lFVtKz2nr8acsQ8hD30

Ovviamente, prendi semplicemente il secondo campo e puoi eliminare il file dopo averlo aggiunto a shadow o per usarlo con sudo (ancora molto probabilmente shadow).

Dai un'occhiata alla pagina man di crypt (3) e penso che scoprirai che lo strumento crypt è stato aggiornato per usare glibc e sha256 ($ 5) e sha512 ($ 6), più round, sale molto più grande e così via .

Chiaramente SHA512 è rilevante per come funziona / etc / shadow.

Detto questo, questa pagina web è stata molto utile, in particolare MKPASSWD, poiché questo ha risolto il MIO problema.

Data una password potenzialmente "persa", posso usare MKPASSWD e il salt, per generare l'hash SHA512 e confermare / negare un elenco di password candidate.

Vorrei usare John The Ripper - ma almeno sul mio hardware (Raspberry Pi) e sul mio budget (niente) - John non può farlo (non sembra supportare le funzionalità avanzate di crypt / glibc nella versione gratuita di raspbian.

Intendiamoci, dato che ho abbastanza permessi per leggere / scrivere / etc / shadow, potrei semplicemente sovrascrivere l'hash e andare avanti con la vita ... questo è un esercizio accademico.

NOTE Note di Glibc La versione glibc2 di questa funzione supporta algoritmi di crittografia aggiuntivi.

   If salt is a  character  string  starting  with  the  characters
   "$id$" followed by a string terminated by "$":

          $id$salt$encrypted

   then instead of using the DES machine, id identifies the encryp‐
   tion method used and this then determines how the  rest  of  the
   password  string is interpreted.  The following values of id are
   supported:

          ID  | Method
          ─────────────────────────────────────────────────────────
          1   | MD5
          2a  | Blowfish (not in mainline glibc; added in some
              | Linux distributions)
          5   | SHA-256 (since glibc 2.7)
          6   | SHA-512 (since glibc 2.7)

   So  $5$salt$encrypted  is  an  SHA-256  encoded   password   and
   $6$salt$encrypted is an SHA-512 encoded one.

Se hai bisogno di un'alternativa a una riga scritta in perl / python, mkpasswd è una buona corrispondenza. Mentre è incluso nel pacchetto whois Debian, manca nei sistemi CentOS / RHEL. Ho modificato la versione Debian di mkpasswd e ho incluso un meccanismo di generazione del sale più forte basato su OpenSSL. Il binario risultante conserva completamente tutti i parametri della riga di comando della versione di Debian. Il codice è disponibile su github e dovrebbe essere compilato su qualsiasi tipo di Linux: mkpasswd

Non sono sicuro di come sia correlato SHA-512 /etc/shadow. Queste password sono state modificate crypt.

Ma se vuoi una password con hash con SHA-512 puoi farlo echo -n the_password | sha512sum. Non è possibile utilizzare l'output per / etc / shadow.