Ao alterar as senhas, como permitir que um módulo PAM verifique se há senhas antigas e outra para salvar senhas antigas?

1

Nosso servidor está usando a codificação blowfish para armazenar senhas e usa o pam_unix2 . Nós gostaríamos de mudar gradualmente para o SHA. A ideia é que todas as senhas recém-modificadas sejam criptografadas com SHA. Mas eu não sei como configurar o PAM para isso, ou seja, common-password . Se eu usar pam_unix2 , não será possível salvar novas senhas com SHA. Se eu usar pam_unix , não será possível verificar senhas antigas de baiacu. Existe uma maneira de verificar as senhas antigas com um módulo e definir novas com outras?

    
por Petr Pudlák 08.02.2013 / 16:27

1 resposta

2

Depende se a interface password verifica a senha atual ou se isso é feito pela interface auth normal. Eu suspeitaria do último devido a root poder definir senhas de outros usuários sem fornecer a senha anterior do usuário, caso em que você deve ser capaz de fazer algo assim:

# Accept authentication with either Blowfish or SHA512
auth        sufficient      pam_unix2.so
auth        sufficient      pam_unix.so

# Set new passwords only with SHA512
password    required        pam_unix.so sha512
    
por 08.02.2013 / 23:32