Меняется алгоритм хэширования паролей и настройки umask

cucullus	# 1 год, 3 месяца назад (отредактировано 1 год, 3 месяца назад)
Темы: 268 Сообщения: 3564 Участник с: 06 июня 2007	С версии shadow >= 4.14.0 стандартный алгоритм хэширования паролей меняется с SHA512 на yescrypt. Также umask теперь задаётся в /etc/login.defs вместо /etc/profile. Эти изменения не потребуют никаких изменений настроек для обычных пользователей. Более устойчивые к подбору паролей, чем SHA512, функция формирования ключа и схема хэштрования паролей yescrypt выбраны для использования в Арче. Они реализованы в libxcrypt, который используется в pam. Победитель Password Hashing Competition алгоритм argon2 ещё не реализован в libxcrypt. Параметр YESCRYPT_COST_FACTOR пока не учитывается pam. Если требуется значение YESCRYPT_COST_FACTOR отличное от 5, это можно настроить через опцию rounds мрдуля pam_unix (в файле /etc/pam.d/system-auth). Yescrypt теперь алгоритм хэширования паролей по умолчанию, вместо SHA512. Pam использует ENCRYPT_METHOD из /etc/login.defs и не изменяет установленное там значение. Изменения в filesystem (>= 2023.09.18) и pambase (>= 20230918) проверяют, что umask действительно настраивается в /etc/login.defs вместо /etc/profile. такие дела.

# 1 год, 3 месяца назад (отредактировано 1 год, 3 месяца назад)

Сообщения: 3564

Участник с: 06 июня 2007

С версии shadow >= 4.14.0 стандартный алгоритм хэширования паролей меняется с SHA512 на yescrypt.
Также umask теперь задаётся в /etc/login.defs вместо /etc/profile.
Эти изменения не потребуют никаких изменений настроек для обычных пользователей.

Более устойчивые к подбору паролей, чем SHA512, функция формирования ключа и схема хэштрования паролей yescrypt выбраны для использования в Арче. Они реализованы в libxcrypt, который используется в pam. Победитель Password Hashing Competition алгоритм argon2 ещё не реализован в libxcrypt.

Параметр YESCRYPT_COST_FACTOR пока не учитывается pam. Если требуется значение YESCRYPT_COST_FACTOR отличное от 5, это можно настроить через опцию rounds мрдуля pam_unix (в файле /etc/pam.d/system-auth).

Yescrypt теперь алгоритм хэширования паролей по умолчанию, вместо SHA512.
Pam использует ENCRYPT_METHOD из /etc/login.defs и не изменяет установленное там значение.
Изменения в filesystem (>= 2023.09.18) и pambase (>= 20230918) проверяют, что umask действительно настраивается в /etc/login.defs вместо /etc/profile.

такие дела.

maxsm	# 1 год, 3 месяца назад
Темы: 0 Сообщения: 1 Участник с: 04 октября 2023	алшоритм - поправите?

vasek	# 1 год, 3 месяца назад (отредактировано 1 год, 3 месяца назад)
Темы: 47 Сообщения: 11874 Участник с: 17 февраля 2013	maxsm алшоритм - поправите? Что имеется ввиду? ... Судя по этому cucullus Эти изменения не потребуют никаких изменений настроек для обычных пользователей. в этом случае, насколько я понимаю, пока не сгенеришь заново пароль, то в /etc/shadow старые пароли будут хранится с sha512, а новые пароли уже будут с yescrypt. То есть - хочешь использовать yescrypt вместо имеюшегося SHA512, то нужно будет заново сгенерить пароль. ~~Возможно я и не прав …~~ PS - хотя при желании можно вручную сгенерить пароль с yescrypt не дожидаясь этих изменений. По идее должно работать, но не проверял ... EDIT - уже все работает автоматом ... но, как и писал, только при создании нового пароля смотрим что используется grep '^ENCRYPT_METHOD' /etc/login.defs ENCRYPT_METHOD YESCRYPT Проверил (перед этим скопировал /etc/shadow в другое место) - сменил пароль ... в shadow уже появился yescrypt Вернул на место ... (будете экспериментировать, не забываем reboot) Ошибки не исчезают с опытом - они просто умнеют

vasek

# 1 год, 3 месяца назад (отредактировано 1 год, 3 месяца назад)

Темы: 47

Сообщения: 11874

Участник с: 17 февраля 2013

maxsm
алшоритм - поправите?

Что имеется ввиду? ...
Судя по этому

cucullus
Эти изменения не потребуют никаких изменений настроек для обычных пользователей.

в этом случае, насколько я понимаю, пока не сгенеришь заново пароль, то в /etc/shadow старые пароли будут хранится с sha512, а новые пароли уже будут с yescrypt.
То есть - хочешь использовать yescrypt вместо имеюшегося SHA512, то нужно будет заново сгенерить пароль.
~~Возможно я и не прав …~~

PS - хотя при желании можно вручную сгенерить пароль с yescrypt не дожидаясь этих изменений.
По идее должно работать, но не проверял ...

EDIT - уже все работает автоматом ... но, как и писал, только при создании нового пароля
смотрим что используется
grep '^ENCRYPT_METHOD' /etc/login.defs
ENCRYPT_METHOD YESCRYPT
Проверил (перед этим скопировал /etc/shadow в другое место) - сменил пароль ... в shadow уже появился yescrypt
Вернул на место ... (будете экспериментировать, не забываем reboot)

Ошибки не исчезают с опытом - они просто умнеют

vadik	# 1 год, 3 месяца назад
Темы: 57 Сообщения: 5496 Участник с: 17 августа 2009	vasek Что имеется ввиду? … опечатка в названии темы. Вместо "г" ТС напечатал "ш". Бывает. Исправил.

vasek	# 1 год, 3 месяца назад
Темы: 47 Сообщения: 11874 Участник с: 17 февраля 2013	vadik опечатка в названии темы … Исправил Я и не заметил ... Ошибки не исчезают с опытом - они просто умнеют