Useradd mit crypt Passwort-Generierung

Arbeite ich auf, was ich dachte, war ein sehr einfaches Skript, um dynamisch erstellen Sie einen FTP-Benutzer mit 'useradd' Es gibt mehrere Teile von diesem Prozess, den ich bin nicht vertraut mit, und einen ganzen Tag ist, hat die Forschung nicht dazu gekommen mich zu weit. Hier ist, was ich habe:

password="pass"
pass=$(perl -e 'print crypt($ARGV[0], "wtf")' $password)
useradd -d HOME_DIR -s /bin/bash -g GROUP -p $pass -f -1 testing

Hinweise

  1. HOME_DIR und GRUPPE sind Platzhalter
  2. Ich bin nicht Probleme mit dem home/base_dir (-d, -b) oder-Gruppe (-g) - Funktionalität von 'useradd'

Themen:

  1. Warum sind meine Passwort-Generierung Bemühungen nicht funktioniert?
  2. /bin/bash die richtige shell zu verwenden, für eine Reine FTP-user, oder sollte ich /bin/false oder eine andere shell?
  3. Standardmäßig useradd deaktiviert ein Konto, bis Sie Ihre eigenen Passwort, wie kann ich dies umgehen?
  4. Ich nicht wollen, benutzen Sie das passwd Programm, wie es Krüppel, meine Fähigkeit, automatisch generieren, FTP-accounts, ich habe eine Lösung gefunden, um diese hieraber ich verstehe nicht die Lösung

Lassen Sie mich wissen, wenn ich werde über das alles falsch ist, oder wenn das, was ich versuche zu tun, ist nicht möglich oder bin ich falsch informiert über alles, was ich habe, angegeben. Vielen Dank für jede Hilfe, die Sie bieten können. 😀

InformationsquelleAutor der Frage Sandwich | 2009-06-19

  1. 25

    Bezüglich der Passwort-Generierung:

    32.3 Der Verschlüsselung Der Passwörter

    • Funktion: char * crypt (const char *key, const char *salt)

      Den crypt Funktion nimmt Sie ein Kennwort Schlüsselals string, und ein Salz Zeichen-array, das unten beschrieben wird, und gibt einen druckbaren ASCII-Zeichenfolge, die beginnt mit einem anderen Salz. Es wird angenommen, dass, gegeben den output der Funktion, der beste Weg, um finden ein Schlüssel zu erzeugen, die Ausgabe ist zu erraten, Werte Schlüsselbis der ursprüngliche Wert von Schlüssel gefunden wird.

      Den Salz parameter der zwei Dinge tut. Erstens, es wählt aus, welche Algorithmus verwendet wird, wird der MD5-basierte, oder die DES-Basis. Zweitens, es macht das Leben schwieriger für jemanden, der versucht zu erraten, Passwörter für eine Datei mit vielen Passwörtern; ohne Salzein Eindringling kann eine Schätzung vornehmen, führen Sie crypt es auf einmal, und vergleichen Sie das Ergebnis mit allen Passwörtern. Mit einem Salzder Eindringling muss laufen crypt einmal für jedes andere Salz.

      Für den MD5-Algorithmus, der Salz soll bestehen aus dem string $1$gefolgt von bis zu 8 Zeichen, abgeschlossen durch entweder ein anderes $ oder das Ende der Zeichenfolge. Das Ergebnis der Krypta werden die Salzgefolgt von einem $ wenn das Salz noch nicht zu Ende mit eins, gefolgt von 22 Zeichen aus dem alphabet ./0-9A-Za-z bis zu 34 Zeichen insgesamt. Jeder Charakter in der Schlüssel ist signifikant.

      Für die DES-basierenden Algorithmus, der Salz sollte aus zwei Zeichen aus dem alphabet ./0-9A-Za-zund das Ergebnis crypt werden diese zwei Buchstaben gefolgt von 11 aus dem gleichen alphabet, 13 insgesamt. Nur die ersten 8 Zeichen in die Schlüssel von Bedeutung sind.

      Den MD5-Algorithmus hat keinen Grenzwert für die nützliche Länge des Kennworts verwendet, und ist etwas sicherer. Es ist daher vorzuziehen, des-basierenden Algorithmus.

      Wenn die Benutzer Ihr Passwort für die erste Zeit, das Salz sollte festgelegt werden, um eine neue Zeichenfolge, die ist ziemlich random. Um zu überprüfen, ein Passwort gegen das Ergebnis von einem vorherigen Aufruf von crypt, übergeben Sie das Ergebnis des vorherigen Aufrufs als das Salz.

    Je nach Ihrem system kann es auch sein, Blowfish und SHA-2-Familie crypts als gut, und es ist möglich, dass die traditionellen DES kann deaktiviert werden, für die Sicherheit. PAM kann eine eigene Komplikationen in auch hier.

     ID | Methode 
------------------------------- 
1 | MD5 (Linux, BSD) 
2a | Blowfish (OpenBSD) 
md5 | MD5-Sonne 
5 | SHA-256 (Linux, seit glibc 2.7) 
6 | SHA-512 (Linux, seit glibc 2.7)

    Dass gesagt wird, die

    root# useradd -d /-g users -p $(perl -e'print crypt("foo", "aa")') -M -N foo 
user$ su - foo 
Passwort: foo 
foo$ ^D 
root# userdel foo

    funktioniert gut auf meinem system.

    Über die shell:

    /sbin/nologin ist traditionell für den login-Benutzer deaktiviert. Sie müssen überprüfen Sie Ihre FTP-daemon - Konfiguration, um zu sehen, ob das schließt Sie von den FTP-Zugang.

    Bezug auf das deaktivierte Konto:

    Wie oben gesehen, für mich funktioniert, wie erwartet, wenn gegeben, ein funktionierendes Passwort.

    Über die andere Lösung:

    Was verstehen Sie nicht über die Alternative Lösung? Es scheint sehr klar zu mir.

    Nur Rohr "username:password" in "chpasswd".

    Wenn Sie möchten, dass der FTP-Benutzer nur, ich würde empfehlen, mit einem FTP-daemon, unterstützt virtuelle Benutzer wie glftpdPure-FTPdProFTPDvsftpd... tatsächlich scheint es, dass alle der häufigsten tun. Auf diese Weise, ein FTP-Konto nicht erforderlich, ein real Konto system.

    InformationsquelleAutor der Antwort ephemient

  2. 1

    Wenn Sie möchten, erstellen Sie "nur FTP" Benutzer haben, sollten Sie sich rssh zuweisen
    Installieren rssh zuweisen, die für Ihre Distribution, und setzen Sie die shell für die "nur FTP" Benutzer "/usr/bin/rssh zuweisen"

    Funktioniert sehr gut

    InformationsquelleAutor der Antwort Mandar Vaze

Schreibe einen Kommentar