Вопросы Теги

Где хранятся пароли?

Другая команда: 

lspci  -v

Пример вывода: 

00:00.0 Host bridge: Intel Corporation 5000P Chipset Memory Controller Hub (rev b1)
    Subsystem: Super Micro Computer Inc Device 9280
    Flags: bus master, fast devsel, latency 0
    Capabilities: [50] Power Management version 2
    Capabilities: [58] MSI: Enable- Count=1/2 Maskable- 64bit-
    Capabilities: [6c] Express Root Port (Slot-), MSI 00
    Capabilities: [100] Advanced Error Reporting
00:02.0 PCI bridge: Intel Corporation 5000 Series Chipset PCI Express x8 Port 2-3 (rev b1) (prog-if 00 [Normal decode])
    Flags: bus master, fast devsel, latency 0
    Bus: primary=00, secondary=01, subordinate=05, sec-latency=0
    I/O behind bridge: 00002000-00002fff
    Memory behind bridge: d8200000-d83fffff
    Capabilities: [50] Power Management version 2
    Capabilities: [58] MSI: Enable+ Count=1/2 Maskable- 64bit-
    Capabilities: [6c] Express Root Port (Slot-), MSI 00
    Capabilities: [100] Advanced Error Reporting
    Kernel driver in use: pcieport-driver
    Kernel modules: shpchp
....
.....
...
0a:01.0 VGA compatible controller: ATI Technologies Inc ES1000 (rev 02) (prog-if 00 [VGA controller])
    Subsystem: Super Micro Computer Inc Device 9280
    Flags: bus master, stepping, fast Back2Back, medium devsel, latency 66, IRQ 11
    Memory at d0000000 (32-bit, prefetchable) [size=128M]
    I/O ports at 3000 [size=256]
    Memory at d8400000 (32-bit, non-prefetchable) [size=64K]
    [virtual] Expansion ROM at d8420000 [disabled] [size=128K]
    Capabilities: [50] Power Management version 2

ИЛИ - Установить GUI: 

sudo apt-get install gnome-device-manager

Запустить его - [ f4]

4
задан 22 June 2011 в 03:06

24 ответа

Пароли (или лучшие хэши), скорее всего, хранятся на сервере LDAP. «Скорее всего» означает, что у вас может быть очень странная настройка, где нет. Конфигурация LDAP очень гибкая, но это также означает, что без проверки конфигурационных файлов нельзя дать четкий ответ о том, как это делается в вашей ситуации. Вы, вероятно, заглянули в /etc/ldap.conf на клиенте для получения подробной информации о конфигурации?

Одна из возможных настроек для аутентификации LDAP выглядит так: поле клиента принимает имя пользователя и пароль из входа и выполняет мог бы на сервер LDAP с этой информацией. Сервер LDAP проверяет имя пользователя и amp; пароль и либо возвращает успех, либо неудачу. В этой настройке ящик клиента никогда не видит сохраненный хэш пароля с сервера LDAP.

Знаете ли вы тип используемого сервера LDAP? Если вы можете видеть, что хэшированные пароли пользователей зависят от настройки сервера LDAP. См. Пример http://www.faqs.org/docs/securing/chap26sec213.html о том, что вы можете настроить на сервере OpenLDAP.

Ответ на хэширование пароля с «user-unknown» является Верно, что хэши не хранятся в /etc/shadow, а на сервере LDAP. Сам хеширование также может выполняться сервером LDAP, а не клиентом.

2
ответ дан 25 July 2018 в 21:41
  • 1
    Я знаю только, что это LDAPv3, возможно, OpenLDAP. В /etc/ldap.conf устанавливаются / раскомментируются только uri, base и ldap_version. bindpw, binddn, rootbinddn и т. д. все прокомментированы. – redman 23 June 2011 в 03:41

Вы пытались - phpldapadmin? - ldapsearch -LLL -x -b "dc = ваш, dc = domain" uid = * (или заменить * по имени пользователя, возможно, это cn вместо uid). Если пароли хранятся в ldap, вы должны увидеть их с помощью этих методов. Если компьютер является контроллером домена, возможно, он установил инструменты smbldap, поэтому вы можете просто сбросить пароли с помощью имени пользователя smbldap-passwd. Вы также можете проверить свою конфигурацию pam.d (/etc/pam.d/common-*) чтобы узнать, какой механизм входа используется вашим компьютером.

0
ответ дан 25 July 2018 в 21:41
  • 1
    Я не вижу никаких символов хэша или обычного текста в записи пользователя LDAP. – redman 22 June 2011 в 13:01
  • 2
    Установлен ли pam.d для проверки подлинности с помощью ldap? – sBlatt 22 June 2011 в 14:39
  • 3
    Да, это ... # here are the per-package modules (the "Primary" block) account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so #new_line# account [success=1 default=ignore] pam_ldap.so # here's the fallback if no module succeeds account requisite pam_deny.so – redman 23 June 2011 в 03:37

Пароли не сохраняются. Они преобразуются функцией, и полученное таким образом значение, которое называется hash, сохраняется.

Если вы входите в систему, на вашем входе выполняется одна и та же функция, а сгенерированное значение по сравнению с один в сохраненном значении в файле /etc/shadow.

Функция имеет вид, который трудно инвертировать. Таким образом, со значением в / etc / shadow вы не можете рассчитать исходный пароль, и ключ там не поможет при входе в систему - вам нужен пароль.

С грубой силой вы можете попытаться создать такой пароль, а для общих имен, таких как 123456, password, asdf, secret, 1111 и т. д., значения тени уже хорошо известны и хранятся в так называемом rainbow-tables.

Чтобы предотвратить атаки с радужными таблицами, функция password может использовать функцию salt, которая влияет на результат, а это означает, что каждый пароль использует другую соль, хранящуюся в первых двух байтах пароля хеш-строку (спасибо psusi, кто меня исправил), так что вам нужен другой радужный стол для каждого пароля, что не очень практично - для их создания требуется слишком много времени.

Я не уверен, использует ли ubuntu соль. Мы можем подождать кого-то, кто объяснит это нам, или вы можете сгенерировать того же пользователя с тем же паролем на двух машинах и сравнить значение в / etc / shadow.

4
ответ дан 25 July 2018 в 21:41
  • 1
    Да, Ubuntu использует соленые хеши, используя SHA-512 в качестве хэш-функции. – Nemo 22 June 2011 в 06:56
  • 2
    Соль не является постоянной для всех паролей на машине; для каждого пароля создается каждый новый каждый раз, когда он хранится в / etc / shadow. Соль хранится в первых двух байтах строки хеша пароля. – psusi 22 June 2011 в 18:50

Пароли (или лучшие хэши), скорее всего, хранятся на сервере LDAP. «Скорее всего» означает, что у вас может быть очень странная настройка, где нет. Конфигурация LDAP очень гибкая, но это также означает, что без проверки конфигурационных файлов нельзя дать четкий ответ о том, как это делается в вашей ситуации. Вы, вероятно, заглянули в /etc/ldap.conf на клиенте для получения подробной информации о конфигурации?

Одна из возможных настроек для аутентификации LDAP выглядит так: поле клиента принимает имя пользователя и пароль из входа и выполняет мог бы на сервер LDAP с этой информацией. Сервер LDAP проверяет имя пользователя и amp; пароль и либо возвращает успех, либо неудачу. В этой настройке ящик клиента никогда не видит сохраненный хэш пароля с сервера LDAP.

Знаете ли вы тип используемого сервера LDAP? Если вы можете видеть, что хэшированные пароли пользователей зависят от настройки сервера LDAP. См. Пример http://www.faqs.org/docs/securing/chap26sec213.html о том, что вы можете настроить на сервере OpenLDAP.

Ответ на хэширование пароля с «user-unknown» является Верно, что хэши не хранятся в /etc/shadow, а на сервере LDAP. Сам хеширование также может выполняться сервером LDAP, а не клиентом.

2
ответ дан 31 July 2018 в 12:50
  • 1
    Я знаю только, что это LDAPv3, возможно, OpenLDAP. В /etc/ldap.conf устанавливаются / раскомментируются только uri, base и ldap_version. bindpw, binddn, rootbinddn и т. д. все прокомментированы. – redman 23 June 2011 в 03:41
  • 2
    В исходном вопросе какие файлы конфигурации: /etc/nsswitch.conf (строки «passwd» и «shadow»), /etc/pam.d/*ldap* (строки с «pam_ldap.so»), / etc / pam.conf (возможно, не используется), /etc/pam_ldap.conf (может и не существовать), /etc/ldap.conf. Поле по умолчанию для пользовательских паролей - «userPassword», но ваша настройка может отличаться. Без учетных данных администратора каталогов вам может быть трудно увидеть это поле, довольно распространенная практика - скрыть его от пользователей. – HelmuthB 23 June 2011 в 15:26

Вы пытались - phpldapadmin? - ldapsearch -LLL -x -b "dc = ваш, dc = domain" uid = * (или заменить * по имени пользователя, возможно, это cn вместо uid). Если пароли хранятся в ldap, вы должны увидеть их с помощью этих методов. Если компьютер является контроллером домена, возможно, он установил инструменты smbldap, поэтому вы можете просто сбросить пароли с помощью имени пользователя smbldap-passwd. Вы также можете проверить свою конфигурацию pam.d (/etc/pam.d/common-*) чтобы узнать, какой механизм входа используется вашим компьютером.

0
ответ дан 31 July 2018 в 12:50
  • 1
    Я не вижу никаких символов хэша или обычного текста в записи пользователя LDAP. – redman 22 June 2011 в 13:01
  • 2
    Установлен ли pam.d для проверки подлинности с помощью ldap? – sBlatt 22 June 2011 в 14:39
  • 3
    Да, это ... # here are the per-package modules (the "Primary" block) account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so #new_line# account [success=1 default=ignore] pam_ldap.so # here's the fallback if no module succeeds account requisite pam_deny.so – redman 23 June 2011 в 03:37

Пароли не сохраняются. Они преобразуются функцией, и полученное таким образом значение, которое называется hash, сохраняется.

Если вы входите в систему, на вашем входе выполняется одна и та же функция, а сгенерированное значение по сравнению с один в сохраненном значении в файле /etc/shadow.

Функция имеет вид, который трудно инвертировать. Таким образом, со значением в / etc / shadow вы не можете рассчитать исходный пароль, и ключ там не поможет при входе в систему - вам нужен пароль.

С грубой силой вы можете попытаться создать такой пароль, а для общих имен, таких как 123456, password, asdf, secret, 1111 и т. д., значения тени уже хорошо известны и хранятся в так называемом rainbow-tables.

Чтобы предотвратить атаки с радужными таблицами, функция password может использовать функцию salt, которая влияет на результат, а это означает, что каждый пароль использует другую соль, хранящуюся в первых двух байтах пароля хеш-строку (спасибо psusi, кто меня исправил), так что вам нужен другой радужный стол для каждого пароля, что не очень практично - для их создания требуется слишком много времени.

Я не уверен, использует ли ubuntu соль. Мы можем подождать кого-то, кто объяснит это нам, или вы можете сгенерировать того же пользователя с тем же паролем на двух машинах и сравнить значение в / etc / shadow.

4
ответ дан 31 July 2018 в 12:50
  • 1
    Да, Ubuntu использует соленые хеши, используя SHA-512 в качестве хэш-функции. – Nemo 22 June 2011 в 06:56
  • 2
    Соль не является постоянной для всех паролей на машине; для каждого пароля создается каждый новый каждый раз, когда он хранится в / etc / shadow. Соль хранится в первых двух байтах строки хеша пароля. – psusi 22 June 2011 в 18:50

Пароли (или лучшие хэши), скорее всего, хранятся на сервере LDAP. «Скорее всего» означает, что у вас может быть очень странная настройка, где нет. Конфигурация LDAP очень гибкая, но это также означает, что без проверки конфигурационных файлов нельзя дать четкий ответ о том, как это делается в вашей ситуации. Вы, вероятно, заглянули в /etc/ldap.conf на клиенте для получения подробной информации о конфигурации?

Одна возможная настройка для аутентификации LDAP такова: поле клиента принимает имя пользователя и пароль из входа и выполняет мог бы на сервер LDAP с этой информацией. Сервер LDAP проверяет имя пользователя и amp; пароль и либо возвращает успех, либо неудачу. В этой настройке ящик клиента никогда не видит сохраненный хэш пароля с сервера LDAP.

Знаете ли вы тип используемого сервера LDAP? Если вы можете видеть, что хэшированные пароли пользователей зависят от настройки сервера LDAP. См. Пример http://www.faqs.org/docs/securing/chap26sec213.html о том, что вы можете настроить на сервере OpenLDAP.

Ответ на хэширование пароля с «user-unknown» является Верно, что хэши не хранятся в /etc/shadow, а на сервере LDAP. Сам хеширование также может выполняться сервером LDAP, а не клиентом.

2
ответ дан 2 August 2018 в 03:17
  • 1
    Я знаю только, что это LDAPv3, возможно, OpenLDAP. В /etc/ldap.conf устанавливаются / раскомментируются только uri, base и ldap_version. bindpw, binddn, rootbinddn и т. д. все прокомментированы. – redman 23 June 2011 в 03:41
  • 2
    В исходном вопросе какие файлы конфигурации: /etc/nsswitch.conf (строки «passwd» и «shadow»), /etc/pam.d/*ldap* (строки с «pam_ldap.so»), / etc / pam.conf (возможно, не используется), /etc/pam_ldap.conf (может и не существовать), /etc/ldap.conf. Поле по умолчанию для пользовательских паролей - «userPassword», но ваша настройка может отличаться. Без учетных данных администратора каталогов вам может быть трудно увидеть это поле, довольно распространенная практика - скрыть его от пользователей. – HelmuthB 23 June 2011 в 15:26

Вы пытались - phpldapadmin? - ldapsearch -LLL -x -b "dc = ваш, dc = domain" uid = * (или заменить * по имени пользователя, возможно, это cn вместо uid). Если пароли хранятся в ldap, вы должны увидеть их с помощью этих методов. Если компьютер является контроллером домена, возможно, он установил инструменты smbldap, поэтому вы можете просто сбросить пароли с помощью имени пользователя smbldap-passwd. Вы также можете проверить свою конфигурацию pam.d (/etc/pam.d/common-*) чтобы узнать, какой механизм входа используется вашим компьютером.

0
ответ дан 2 August 2018 в 03:17
  • 1
    Я не вижу никаких символов хэша или обычного текста в записи пользователя LDAP. – redman 22 June 2011 в 13:01
  • 2
    Установлен ли pam.d для проверки подлинности с помощью ldap? – sBlatt 22 June 2011 в 14:39
  • 3
    Да, это ... # here are the per-package modules (the "Primary" block) account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so #new_line# account [success=1 default=ignore] pam_ldap.so # here's the fallback if no module succeeds account requisite pam_deny.so – redman 23 June 2011 в 03:37

Пароли не сохраняются. Они преобразуются функцией, и полученное таким образом значение, которое называется hash, сохраняется.

Если вы входите в систему, на вашем входе выполняется одна и та же функция, а сгенерированное значение по сравнению с один в сохраненном значении в файле /etc/shadow.

Функция имеет вид, который трудно инвертировать. Таким образом, со значением в / etc / shadow вы не можете рассчитать исходный пароль, и ключ там не поможет при входе в систему - вам нужен пароль.

С грубой силой вы можете попытаться создать такой пароль, а для общих имен, таких как 123456, password, asdf, secret, 1111 и т. д., значения тени уже хорошо известны и хранятся в так называемом rainbow-tables.

Чтобы предотвратить атаки с радужными таблицами, функция password может использовать функцию salt, которая влияет на результат, а это означает, что каждый пароль использует другую соль, хранящуюся в первых двух байтах пароля хеш-строку (спасибо psusi, кто меня исправил), так что вам нужен другой радужный стол для каждого пароля, что не очень практично - для их создания требуется слишком много времени.

Я не уверен, использует ли ubuntu соль. Мы можем подождать кого-то, кто объяснит это нам, или вы можете сгенерировать того же пользователя с тем же паролем на двух машинах и сравнить значение в / etc / shadow.

4
ответ дан 2 August 2018 в 03:17
  • 1
    Да, Ubuntu использует соленые хеши, используя SHA-512 в качестве хэш-функции. – Nemo 22 June 2011 в 06:56
  • 2
    Соль не является постоянной для всех паролей на машине; для каждого пароля создается каждый новый каждый раз, когда он хранится в / etc / shadow. Соль хранится в первых двух байтах строки хеша пароля. – psusi 22 June 2011 в 18:50

Пароли (или лучшие хэши), скорее всего, хранятся на сервере LDAP. «Скорее всего» означает, что вы могли бы иметь очень странную настройку, где это не так. Конфигурация LDAP очень гибкая, но это также означает, что без проверки конфигурационных файлов нельзя дать четкий ответ о том, как это делается в вашей ситуации. Вероятно, вы просмотрели /etc/ldap.conf на клиенте для получения подробной информации о конфигурации?

Одна из возможных настроек для аутентификации LDAP такова: поле клиента принимает имя пользователя и пароль от входа в систему и выполняет эту привязку к серверу LDAP. Сервер LDAP проверяет имя пользователя и amp; пароль и либо возвращает успех, либо неудачу. В этой настройке ящик клиента никогда не видит сохраненный хэш пароля с сервера LDAP.

Знаете ли вы тип используемого сервера LDAP? Если вы можете видеть, что хэшированные пароли пользователей зависят от настройки сервера LDAP. См. В качестве примера http://www.faqs.org/docs/securing/chap26sec213.html о том, что вы можете настроить на сервере OpenLDAP.

Ответ на хэширование пароля из «user-unknown» верен, только хэши не хранятся в / etc / shadow , а на сервере LDAP. Сам хеширование также может выполняться сервером LDAP, а не клиентом.

2
ответ дан 4 August 2018 в 19:12

Вы пытались - phpldapadmin? - ldapsearch -LLL -x -b "dc = ваш, dc = domain" uid = * (или заменить * по имени пользователя, возможно, это cn вместо uid). Если пароли хранятся в ldap, вы должны увидеть их с помощью этих методов. Если компьютер является контроллером домена, возможно, он установил инструменты smbldap, поэтому вы можете просто сбросить пароли с помощью имени пользователя smbldap-passwd. Вы также можете проверить свою конфигурацию pam.d (/etc/pam.d/common-*) чтобы узнать, какой механизм входа используется вашим компьютером.

0
ответ дан 4 August 2018 в 19:12
  • 1
    Я не вижу никаких символов хэша или обычного текста в записи пользователя LDAP. – redman 22 June 2011 в 13:01
  • 2
    Установлен ли pam.d для проверки подлинности с помощью ldap? – sBlatt 22 June 2011 в 14:39
  • 3
    Да, это ... # here are the per-package modules (the "Primary" block) account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so #new_line# account [success=1 default=ignore] pam_ldap.so # here's the fallback if no module succeeds account requisite pam_deny.so – redman 23 June 2011 в 03:37

Пароли не сохраняются. Они преобразуются функцией, и полученное таким образом значение, которое называется hash, сохраняется.

Если вы входите в систему, на вашем входе выполняется одна и та же функция, а сгенерированное значение по сравнению с один в сохраненном значении в файле /etc/shadow.

Функция имеет вид, который трудно инвертировать. Таким образом, со значением в / etc / shadow вы не можете рассчитать исходный пароль, и ключ там не поможет при входе в систему - вам нужен пароль.

С грубой силой вы можете попытаться создать такой пароль, а для общих имен, таких как 123456, password, asdf, secret, 1111 и т. д., значения тени уже хорошо известны и хранятся в так называемом rainbow-tables.

Чтобы предотвратить атаки с радужными таблицами, функция password может использовать функцию salt, которая влияет на результат, а это означает, что каждый пароль использует другую соль, хранящуюся в первых двух байтах пароля хеш-строку (спасибо psusi, кто меня исправил), так что вам нужен другой радужный стол для каждого пароля, что не очень практично - для их создания требуется слишком много времени.

Я не уверен, использует ли ubuntu соль. Мы можем подождать кого-то, кто объяснит это нам, или вы можете сгенерировать того же пользователя с тем же паролем на двух машинах и сравнить значение в / etc / shadow.

4
ответ дан 4 August 2018 в 19:12
  • 1
    Да, Ubuntu использует соленые хеши, используя SHA-512 в качестве хэш-функции. – Nemo 22 June 2011 в 06:56
  • 2
    Соль не является постоянной для всех паролей на машине; для каждого пароля создается каждый новый каждый раз, когда он хранится в / etc / shadow. Соль хранится в первых двух байтах строки хеша пароля. – psusi 22 June 2011 в 18:50

Пароли (или лучшие хэши), скорее всего, хранятся на сервере LDAP. «Скорее всего» означает, что у вас может быть очень странная настройка, где нет. Конфигурация LDAP очень гибкая, но это также означает, что без проверки конфигурационных файлов нельзя дать четкий ответ о том, как это делается в вашей ситуации. Вы, вероятно, заглянули в /etc/ldap.conf на клиенте для получения подробной информации о конфигурации?

Одна возможная настройка для аутентификации LDAP такова: поле клиента принимает имя пользователя и пароль из входа и выполняет мог бы на сервер LDAP с этой информацией. Сервер LDAP проверяет имя пользователя и amp; пароль и либо возвращает успех, либо неудачу. В этой настройке ящик клиента никогда не видит сохраненный хэш пароля с сервера LDAP.

Знаете ли вы тип используемого сервера LDAP? Если вы можете видеть, что хэшированные пароли пользователей зависят от настройки сервера LDAP. См. Пример http://www.faqs.org/docs/securing/chap26sec213.html о том, что вы можете настроить на сервере OpenLDAP.

Ответ на хэширование пароля с «user-unknown» является Верно, что хэши не хранятся в /etc/shadow, а на сервере LDAP. Сам хеширование также может выполняться сервером LDAP, а не клиентом.

2
ответ дан 6 August 2018 в 03:28
  • 1
    Я знаю только, что это LDAPv3, возможно, OpenLDAP. В /etc/ldap.conf устанавливаются / раскомментируются только uri, base и ldap_version. bindpw, binddn, rootbinddn и т. д. все прокомментированы. – redman 23 June 2011 в 03:41
  • 2
    В исходном вопросе какие файлы конфигурации: /etc/nsswitch.conf (строки «passwd» и «shadow»), /etc/pam.d/*ldap* (строки с «pam_ldap.so»), / etc / pam.conf (возможно, не используется), /etc/pam_ldap.conf (может и не существовать), /etc/ldap.conf. Поле по умолчанию для пользовательских паролей - «userPassword», но ваша настройка может отличаться. Без учетных данных администратора каталогов вам может быть трудно увидеть это поле, довольно распространенная практика - скрыть его от пользователей. – HelmuthB 23 June 2011 в 15:26

Вы пытались - phpldapadmin? - ldapsearch -LLL -x -b "dc = ваш, dc = domain" uid = * (или заменить * по имени пользователя, возможно, это cn вместо uid). Если пароли хранятся в ldap, вы должны увидеть их с помощью этих методов. Если компьютер является контроллером домена, возможно, он установил инструменты smbldap, поэтому вы можете просто сбросить пароли с помощью имени пользователя smbldap-passwd. Вы также можете проверить свою конфигурацию pam.d (/etc/pam.d/common-*) чтобы узнать, какой механизм входа используется вашим компьютером.

0
ответ дан 6 August 2018 в 03:28
  • 1
    Я не вижу никаких символов хэша или обычного текста в записи пользователя LDAP. – redman 22 June 2011 в 13:01
  • 2
    Установлен ли pam.d для проверки подлинности с помощью ldap? – sBlatt 22 June 2011 в 14:39
  • 3
    Да, это ... # here are the per-package modules (the "Primary" block) account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so #new_line# account [success=1 default=ignore] pam_ldap.so # here's the fallback if no module succeeds account requisite pam_deny.so – redman 23 June 2011 в 03:37

Пароли не сохраняются. Они преобразуются функцией, и полученное таким образом значение, которое называется hash, сохраняется.

Если вы входите в систему, на вашем входе выполняется одна и та же функция, а сгенерированное значение по сравнению с один в сохраненном значении в файле /etc/shadow.

Функция имеет вид, который трудно инвертировать. Таким образом, со значением в / etc / shadow вы не можете рассчитать исходный пароль, и ключ там не поможет при входе в систему - вам нужен пароль.

С грубой силой вы можете попытаться создать такой пароль, а для общих имен, таких как 123456, password, asdf, secret, 1111 и т. д., значения тени уже хорошо известны и хранятся в так называемом rainbow-tables.

Чтобы предотвратить атаки с радужными таблицами, функция password может использовать функцию salt, которая влияет на результат, а это означает, что каждый пароль использует другую соль, хранящуюся в первых двух байтах пароля хеш-строку (спасибо psusi, кто меня исправил), так что вам нужен другой радужный стол для каждого пароля, что не очень практично - для их создания требуется слишком много времени.

Я не уверен, использует ли ubuntu соль. Мы можем подождать кого-то, кто объяснит это нам, или вы можете сгенерировать того же пользователя с тем же паролем на двух машинах и сравнить значение в / etc / shadow.

4
ответ дан 6 August 2018 в 03:28
  • 1
    Да, Ubuntu использует соленые хеши, используя SHA-512 в качестве хэш-функции. – Nemo 22 June 2011 в 06:56
  • 2
    Соль не является постоянной для всех паролей на машине; для каждого пароля создается каждый новый каждый раз, когда он хранится в / etc / shadow. Соль хранится в первых двух байтах строки хеша пароля. – psusi 22 June 2011 в 18:50

Пароли не сохраняются. Они преобразуются с помощью функции, и полученное таким образом значение, которое называется hash , сохраняется.

Если вы входите в систему, эта же функция выполняется на вашем входе, а (d1) / etc / shadow .

Функция имеет вид, который трудно инвертировать. Таким образом, со значением в / etc / shadow вы не можете рассчитать исходный пароль, и ключ там не поможет при входе в систему - вам нужен пароль.

С грубой силой вы можете попытаться сгенерировать такой пароль, а для общих имен, таких как 123456, пароль, asdf, secret, 1111 и т. д., теневые значения уже хорошо известны и хранятся в так называемых радужных таблицах .

Чтобы предотвратить атаки с радужными таблицами, функция password может использовать соль , которая влияет на результат, а это означает, что каждый пароль использует другую соль, хранящуюся в первом два байта строки хэш-пароля (спасибо psusi, кто меня исправил), так что вам нужен другой радужный стол для каждого пароля, что не очень практично - для их создания требуется слишком много времени и дорого. [ ! d9]

Я не уверен, использует ли ubuntu соль. Мы можем подождать кого-то, кто объяснит это нам, или вы можете сгенерировать того же пользователя с тем же паролем на двух машинах и сравнить значение в / etc / shadow.

4
ответ дан 7 August 2018 в 21:15

Вы пытались - phpldapadmin? - ldapsearch -LLL -x -b "dc = ваш, dc = domain" uid = * (или заменить * по имени пользователя, возможно, это cn вместо uid). Если пароли хранятся в ldap, вы должны увидеть их с помощью этих методов. Если компьютер является контроллером домена, возможно, он установил инструменты smbldap, поэтому вы можете просто сбросить пароли с помощью имени пользователя smbldap-passwd. Вы также можете проверить свою конфигурацию pam.d (/etc/pam.d/common-*) чтобы узнать, какой механизм входа используется вашим компьютером.

0
ответ дан 7 August 2018 в 21:15

Пароли (или лучшие хэши), скорее всего, хранятся на сервере LDAP. «Скорее всего» означает, что вы могли бы иметь очень странную настройку, где это не так. Конфигурация LDAP очень гибкая, но это также означает, что без проверки конфигурационных файлов нельзя дать четкий ответ о том, как это делается в вашей ситуации. Вероятно, вы просмотрели /etc/ldap.conf на клиенте для получения подробной информации о конфигурации?

Одна из возможных настроек для аутентификации LDAP такова: поле клиента принимает имя пользователя и пароль от входа в систему и выполняет эту привязку к серверу LDAP. Сервер LDAP проверяет имя пользователя и amp; пароль и либо возвращает успех, либо неудачу. В этой настройке ящик клиента никогда не видит сохраненный хэш пароля с сервера LDAP.

Знаете ли вы тип используемого сервера LDAP? Если вы можете видеть, что хэшированные пароли пользователей зависят от настройки сервера LDAP. См. В качестве примера http://www.faqs.org/docs/securing/chap26sec213.html о том, что вы можете настроить на сервере OpenLDAP.

Ответ на хэширование пароля из «user-unknown» верен, только хэши не хранятся в / etc / shadow , а на сервере LDAP. Сам хеширование также может выполняться сервером LDAP, а не клиентом.

2
ответ дан 7 August 2018 в 21:15

Вы пытались - phpldapadmin? - ldapsearch -LLL -x -b "dc = ваш, dc = domain" uid = * (или заменить * по имени пользователя, возможно, это cn вместо uid). Если пароли хранятся в ldap, вы должны увидеть их с помощью этих методов. Если компьютер является контроллером домена, возможно, он установил инструменты smbldap, поэтому вы можете просто сбросить пароли с помощью имени пользователя smbldap-passwd. Вы также можете проверить свою конфигурацию pam.d (/etc/pam.d/common-*) чтобы узнать, какой механизм входа используется вашим компьютером.

0
ответ дан 10 August 2018 в 09:34

Пароли не сохраняются. Они преобразуются с помощью функции, и полученное таким образом значение, которое называется hash , сохраняется.

Если вы входите в систему, эта же функция выполняется на вашем входе, а (d1) / etc / shadow .

Функция имеет вид, который трудно инвертировать. Таким образом, со значением в / etc / shadow вы не можете рассчитать исходный пароль, и ключ там не поможет при входе в систему - вам нужен пароль.

С грубой силой вы можете попытаться сгенерировать такой пароль, а для общих имен, таких как 123456, пароль, asdf, secret, 1111 и т. д., теневые значения уже хорошо известны и хранятся в так называемых радужных таблицах .

Чтобы предотвратить атаки с радужными таблицами, функция password может использовать соль , которая влияет на результат, а это означает, что каждый пароль использует другую соль, хранящуюся в первом два байта строки хэш-пароля (спасибо psusi, кто меня исправил), так что вам нужен другой радужный стол для каждого пароля, что не очень практично - для их создания требуется слишком много времени и дорого. [ ! d9]

Я не уверен, использует ли ubuntu соль. Мы можем подождать кого-то, кто объяснит это нам, или вы можете сгенерировать того же пользователя с тем же паролем на двух машинах и сравнить значение в / etc / shadow.

4
ответ дан 10 August 2018 в 09:34

Пароли (или лучшие хэши), скорее всего, хранятся на сервере LDAP. «Скорее всего» означает, что вы могли бы иметь очень странную настройку, где это не так. Конфигурация LDAP очень гибкая, но это также означает, что без проверки конфигурационных файлов нельзя дать четкий ответ о том, как это делается в вашей ситуации. Вероятно, вы просмотрели /etc/ldap.conf на клиенте для получения подробной информации о конфигурации?

Одна из возможных настроек для аутентификации LDAP такова: поле клиента принимает имя пользователя и пароль от входа в систему и выполняет эту привязку к серверу LDAP. Сервер LDAP проверяет имя пользователя и amp; пароль и либо возвращает успех, либо неудачу. В этой настройке ящик клиента никогда не видит сохраненный хэш пароля с сервера LDAP.

Знаете ли вы тип используемого сервера LDAP? Если вы можете видеть, что хэшированные пароли пользователей зависят от настройки сервера LDAP. См. В качестве примера http://www.faqs.org/docs/securing/chap26sec213.html о том, что вы можете настроить на сервере OpenLDAP.

Ответ на хэширование пароля из «user-unknown» верен, только хэши не хранятся в / etc / shadow , а на сервере LDAP. Сам хеширование также может выполняться сервером LDAP, а не клиентом.

2
ответ дан 10 August 2018 в 09:34

Пароли не сохраняются. Они преобразуются с помощью функции, и полученное таким образом значение, которое называется hash , сохраняется.

Если вы входите в систему, эта же функция выполняется на вашем входе, а (d1) / etc / shadow .

Функция имеет вид, который трудно инвертировать. Таким образом, со значением в / etc / shadow вы не можете рассчитать исходный пароль, и ключ там не поможет при входе в систему - вам нужен пароль.

С грубой силой вы можете попытаться сгенерировать такой пароль, а для общих имен, таких как 123456, пароль, asdf, secret, 1111 и т. д., теневые значения уже хорошо известны и хранятся в так называемых радужных таблицах .

Чтобы предотвратить атаки с радужными таблицами, функция password может использовать соль , которая влияет на результат, а это означает, что каждый пароль использует другую соль, хранящуюся в первом два байта строки хэш-пароля (спасибо psusi, кто меня исправил), так что вам нужен другой радужный стол для каждого пароля, что не очень практично - для их создания требуется слишком много времени и дорого. [ ! d9]

Я не уверен, использует ли ubuntu соль. Мы можем подождать кого-то, кто объяснит это нам, или вы можете сгенерировать того же пользователя с тем же паролем на двух машинах и сравнить значение в / etc / shadow.

4
ответ дан 13 August 2018 в 15:44
  • 1
    Да, Ubuntu использует соленые хеши, используя SHA-512 в качестве хэш-функции. – Nemo 22 June 2011 в 06:56
  • 2
    Соль не является постоянной для всех паролей на машине; для каждого пароля создается каждый новый каждый раз, когда он хранится в / etc / shadow. Соль хранится в первых двух байтах строки хеша пароля. – psusi 22 June 2011 в 18:50

Вы пытались - phpldapadmin? - ldapsearch -LLL -x -b "dc = ваш, dc = domain" uid = * (или заменить * по имени пользователя, возможно, это cn вместо uid). Если пароли хранятся в ldap, вы должны увидеть их с помощью этих методов. Если компьютер является контроллером домена, возможно, он установил инструменты smbldap, поэтому вы можете просто сбросить пароли с помощью имени пользователя smbldap-passwd. Вы также можете проверить свою конфигурацию pam.d (/etc/pam.d/common-*) чтобы узнать, какой механизм входа используется вашим компьютером.

0
ответ дан 13 August 2018 в 15:44
  • 1
    Я не вижу никаких символов хэша или обычного текста в записи пользователя LDAP. – redman 22 June 2011 в 13:01
  • 2
    Установлен ли pam.d для проверки подлинности с помощью ldap? – sBlatt 22 June 2011 в 14:39
  • 3
    Да, это ... # здесь - модули для каждого пакета (учетная запись «Основной») [success = 2 new_authtok_reqd = done default = ignore] pam_unix.so # new_line # account [success = 1 default = ignore] pam_ldap.so # вот резерв, если ни один из модулей не выполнил учетную запись pam_deny.so – redman 23 June 2011 в 03:37

Пароли (или лучшие хэши), скорее всего, хранятся на сервере LDAP. «Скорее всего» означает, что вы могли бы иметь очень странную настройку, где это не так. Конфигурация LDAP очень гибкая, но это также означает, что без проверки конфигурационных файлов нельзя дать четкий ответ о том, как это делается в вашей ситуации. Вероятно, вы просмотрели /etc/ldap.conf на клиенте для получения подробной информации о конфигурации?

Одна из возможных настроек для аутентификации LDAP такова: поле клиента принимает имя пользователя и пароль от входа в систему и выполняет эту привязку к серверу LDAP. Сервер LDAP проверяет имя пользователя и amp; пароль и либо возвращает успех, либо неудачу. В этой настройке ящик клиента никогда не видит сохраненный хэш пароля с сервера LDAP.

Знаете ли вы тип используемого сервера LDAP? Если вы можете видеть, что хэшированные пароли пользователей зависят от настройки сервера LDAP. См. В качестве примера http://www.faqs.org/docs/securing/chap26sec213.html о том, что вы можете настроить на сервере OpenLDAP.

Ответ на хэширование пароля из «user-unknown» верен, только хэши не хранятся в / etc / shadow , а на сервере LDAP. Сам хеширование также может выполняться сервером LDAP, а не клиентом.

2
ответ дан 13 August 2018 в 15:44
  • 1
    Я знаю только, что это LDAPv3, возможно, OpenLDAP. В /etc/ldap.conf устанавливаются / раскомментируются только uri, base и ldap_version. bindpw, binddn, rootbinddn и т. д. все прокомментированы. – redman 23 June 2011 в 03:41
  • 2
    В исходном вопросе какие файлы конфигурации: /etc/nsswitch.conf (строки «passwd» и «shadow»), /etc/pam.d/*ldap* (строки с «pam_ldap.so»), / etc / pam.conf (возможно, не используется), /etc/pam_ldap.conf (может и не существовать), /etc/ldap.conf. Поле по умолчанию для пользовательских паролей - «userPassword», но ваша настройка может отличаться. Без учетных данных администратора каталогов вам может быть трудно увидеть это поле, довольно распространенная практика - скрыть его от пользователей. – HelmuthB 23 June 2011 в 15:26

Другие вопросы по тегам:

Похожие вопросы: