¿Cómo crear una contraseña hash SHA-512 para shadow?

Las preguntas anteriores de SF que he visto han llevado a respuestas que producen una contraseña hash MD5.

¿Alguien tiene una sugerencia para producir una contraseña hash SHA-512? Prefiero un trazador de líneas en lugar de un guión, pero si un guión es la única solución, también está bien.

Actualizar

Reemplazar versiones anteriores de py2 con esta:

python3 -c "import crypt;print(crypt.crypt(input('clear-text pw: '), crypt.mksalt(crypt.METHOD_SHA512)))"

Aquí hay un trazador de líneas:

python -c 'import crypt; print crypt.crypt("test", "$6$random_salt")'

Python 3.3+ incluye mksalten la cripta , lo que hace que sea mucho más fácil (y más seguro) de usar:

python3 -c 'import crypt; print(crypt.crypt("test", crypt.mksalt(crypt.METHOD_SHA512)))'

Si usted no proporciona un argumento para crypt.mksalt(que podría aceptar crypt.METHOD_CRYPT, ...MD5, SHA256, y SHA512), se utilizará el más fuerte disponible.

El ID del hash (número después del primero $) está relacionado con el método utilizado:

• 1 -> MD5
• 2a -> Blowfish (no en glibc de línea principal; agregado en algunas distribuciones de Linux)
• 5 -> SHA-256 (desde glibc 2.7)
• 6 -> SHA-512 (desde glibc 2.7)

Te recomiendo que busques qué son las sales y tal, y según smallclamgers comenta la diferencia entre cifrado y hash.

Actualización 1: la cadena producida es adecuada para scripts shadow y kickstart. Actualización 2: Advertencia. Si está utilizando una Mac, vea el comentario sobre cómo usar esto en Python en una Mac donde no parece funcionar como se esperaba.

En Debian puede usar mkpasswd para crear contraseñas con diferentes algoritmos de hash adecuados para / etc / shadow. Está incluido en el paquete whois (según apt-file)

mkpasswd -m sha-512
mkpasswd -m md5

para obtener una lista de tipos de algoritmos de hashing disponibles:

mkpasswd -m help 

HTH

La mejor respuesta: grub-crypt

Usage: grub-crypt [OPTION]...
Encrypt a password.

-h, --helpPrint this message and exit
-v, --version           Print the version information and exit
--md5                   Use MD5 to encrypt the password
--sha-256               Use SHA-256 to encrypt the password
**--sha-512             Use SHA-512 to encrypt the password (default)**

Aquí hay un código C corto para generar la contraseña SHA-512 en varios sistemas operativos tipo Unix.

Expediente: passwd-sha512.c

#define _XOPEN_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

int main(int argc, char *argv[]) {
  if ( argc < 3 || (int) strlen(argv[2]) > 16 ) {
    printf("usage: %s password salt\n", argv[0]);
    printf("--salt must not larger than 16 characters\n");
    return;
  }

  char salt[21];
  sprintf(salt, "$6$%s$", argv[2]);

  printf("%s\n", crypt((char*) argv[1], (char*) salt));
  return;
}

compilar:

/usr/bin/gcc -lcrypt -o passwd-sha512 passwd-sha512.c

uso:

passwd-sha512 <password> <salt (16 chars max)>

Solución Perl one-liner para generar la contraseña hash SHA-512:

perl -le 'print crypt "desiredPassword", "\$6\$customSalt\$"'

Trabajó en RHEL 6

¿Por qué no realizar la siguiente verificación y modificación en las máquinas Centos / RHEL para garantizar que todo el hashing de contraseñas para / etc / shadow se realice con sha512? Luego puede configurar su passworkd normalmente con el comando passwd

#Set stronger password hasing
/usr/sbin/authconfig --test | grep sha512 > /dev/null
if [ $? -ne 0 ]; then
echo "Configuring sha512 password hashing"
sudo /usr/sbin/authconfig --enableshadow --passalgo=sha512 --updateall
fi

Aquí hay una línea que usa comandos de shell para crear una contraseña hash SHA-512 con una sal aleatoria:

[root @ host] mkpasswd -m sha-512 MyPAsSwOrD $ (openssl rand -base64 16 | tr -d '+ =' | head -c 16)

Notas

1. Es posible que deba instalar el paquete "whois" (Debian, SuSE, etc.), que proporciona "mkpasswd".
2. Ver crypt (3) para detalles sobre el formato de líneas en "/ etc / shadow".

Lea el comentario a continuación para conocer las implicaciones de seguridad de esta respuesta.

Para aquellos de la mentalidad de Ruby aquí hay una frase:

'password'.crypt('$6$' + rand(36 ** 8).to_s(36))

Este script funcionó para mí en Ubuntu 12.04 LTS: https://gist.github.com/JensRantil/ac691a4854a4f6cb4bd9

#!/bin/bash
read -p "Enter username: " username
read -s -p "Enter password: " mypassword
echo
echo -n $username:$mypassword | chpasswd -S -c SHA512

Tiene las siguientes características de las que carecen algunas de las otras alternativas:

• Genera su sal de forma segura. Nadie debería confiar en hacer esto manualmente. Siempre.
• no almacena nada en el historial de shell.
• Para mayor claridad, imprime la contraseña de usuario que generó, lo que puede ser bueno al generar las contraseñas de muchos usuarios.

Los algos HASH son para producir resúmenes de MENSAJES, nunca son adecuados para contraseñas, que deberían usar algún tipo de HKDF ( http://tools.ietf.org/rfc/rfc5869.txt ) - vea PBKDF2 o BCrypt

#!/usr/bin/env python

import getpass

from passlib.hash import sha512_crypt

if __name__ == "__main__":
    passwd = getpass.getpass('Password to hash: ')
    hash = sha512_crypt.encrypt(passwd)

    print hash

Puede clonarlo desde mi repositorio github si lo desea: https://github.com/antoncohen/mksha

No es un trazador de líneas, pero podría ayudar a alguien:

import crypt, getpass, pwd, string, sys, random
randomsalt = ""
password = getpass.getpass()
choices = string.ascii_uppercase + string.digits + string.ascii_lowercase
for _ in range(0,8):
    randomsalt += random.choice(choices)
print crypt.crypt(password, '$6$%s$' % randomsalt)

$ htpasswd -c /tmp/my_hash user1
New password: 
Re-type new password: 
Adding password for user user1
$ cat /tmp/my_hash
user1:$apr1$oj1ypcQz$4.6lFVtKz2nr8acsQ8hD30

Obviamente, simplemente agarra el segundo campo y puede eliminar el archivo una vez que lo haya agregado a la sombra o para usarlo con sudo (aún probablemente sombra).

Eche un vistazo a la página de manual de crypt (3) y creo que encontrará que la herramienta de cripta se ha actualizado para usar glibc y sha256 ($ 5) y sha512 ($ 6), rondas múltiples, sal mucho más grande, etc. .

Claramente, SHA512 es relevante para cómo funciona / etc / shadow.

Dicho esto, esta página web fue muy útil, en particular la MKPASSWD, ya que esto resolvió MI problema.

Dada una contraseña potencialmente "perdida", puedo usar MKPASSWD y la sal, para generar el hash SHA512 y confirmar / denegar una lista de contraseñas candidatas.

Usaría a John el destripador, pero al menos en mi hardware (Raspberry Pi) y mi presupuesto (nada), John no puede hacerlo (no parece admitir las cosas avanzadas de crypt / glibc en la versión gratuita de raspbian).

Eso sí, ya que tengo suficiente permiso para leer / escribir / etc / shadow, PODRÍA sobrescribir el hash y seguir con la vida ... este es un ejercicio académico.

NOTAS Notas de Glibc La versión glibc2 de esta función admite algoritmos de cifrado adicionales.

   If salt is a  character  string  starting  with  the  characters
   "$id$" followed by a string terminated by "$":

          $id$salt$encrypted

   then instead of using the DES machine, id identifies the encryp‐
   tion method used and this then determines how the  rest  of  the
   password  string is interpreted.  The following values of id are
   supported:

          ID  | Method
          ─────────────────────────────────────────────────────────
          1   | MD5
          2a  | Blowfish (not in mainline glibc; added in some
              | Linux distributions)
          5   | SHA-256 (since glibc 2.7)
          6   | SHA-512 (since glibc 2.7)

   So  $5$salt$encrypted  is  an  SHA-256  encoded   password   and
   $6$salt$encrypted is an SHA-512 encoded one.

Si necesita una alternativa a las líneas escritas en perl / python, mkpasswd es una buena combinación. Si bien está incluido en el paquete whois de Debian, falta en los sistemas CentOS / RHEL. Modifiqué la versión Debian de mkpasswd e incluí un mecanismo de generación de sal más fuerte basado en OpenSSL. El binario resultante conserva completamente todos los parámetros de la línea de comandos de la versión de Debian. El código está disponible en github y debe compilarse en cualquier versión de Linux: mkpasswd

No estoy seguro de cómo se relaciona SHA-512 /etc/shadow. Estas contraseñas son crypted.

Pero si desea un hash de contraseña con SHA-512, puede hacerlo echo -n the_password | sha512sum. No puede usar la salida para / etc / shadow.