如何为阴影创建SHA-512哈希密码？

我之前看到的SF问题导致了产生MD5哈希密码的答案。

有没有人建议生成SHA-512哈希密码？我希望使用一个衬纸而不是脚本，但是，如果脚本是唯一的解决方案，那也很好。

更新资料

用这个替换以前的py2版本：

python3 -c "import crypt;print(crypt.crypt(input('clear-text pw: '), crypt.mksalt(crypt.METHOD_SHA512)))"

这是一个班轮：

python -c 'import crypt; print crypt.crypt("test", "$6$random_salt")'

python 3.3+包含mksalt在crypt中，这使得使用起来更容易（更安全）：

python3 -c 'import crypt; print(crypt.crypt("test", crypt.mksalt(crypt.METHOD_SHA512)))'

如果你不提供一个参数crypt.mksalt（它可以接受crypt.METHOD_CRYPT，...MD5，SHA256，和SHA512），它会使用最强可用。

哈希的ID（第一个之后的数字$）与所使用的方法有关：

• 1-> MD5
• 2a-> Blowfish（不在主线glibc中；在某些Linux发行版中添加）
• 5-> SHA-256（自glibc 2.7起）
• 6-> SHA-512（自glibc 2.7起）

我建议您查一下盐是什么，并且像小流氓评论加密和散列之间的区别。

更新1：生成的字符串适用于shadow和kickstart脚本。更新2：警告。如果您使用的是Mac，请参阅有关在Mac上似乎无法正常工作的python中使用此功能的注释。

在Debian上，您可以使用mkpasswd使用 适用于/ etc / shadow的不同哈希算法创建密码。它包含在whois软件包中（根据apt-file）

mkpasswd -m sha-512
mkpasswd -m md5

获取可用的哈希算法列表：

mkpasswd -m help 

HTH

最佳答案：grub-crypt

Usage: grub-crypt [OPTION]...
Encrypt a password.

-h, --helpPrint this message and exit
-v, --version           Print the version information and exit
--md5                   Use MD5 to encrypt the password
--sha-256               Use SHA-256 to encrypt the password
**--sha-512             Use SHA-512 to encrypt the password (default)**

这是一个简短的C代码，用于在各种Unix类型的OS上生成SHA-512密码。

文件： passwd-sha512.c

#define _XOPEN_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

int main(int argc, char *argv[]) {
  if ( argc < 3 || (int) strlen(argv[2]) > 16 ) {
    printf("usage: %s password salt\n", argv[0]);
    printf("--salt must not larger than 16 characters\n");
    return;
  }

  char salt[21];
  sprintf(salt, "$6$%s$", argv[2]);

  printf("%s\n", crypt((char*) argv[1], (char*) salt));
  return;
}

编译：

/usr/bin/gcc -lcrypt -o passwd-sha512 passwd-sha512.c

用法：

passwd-sha512 <password> <salt (16 chars max)>

Perl一线解决方案可生成SHA-512哈希密码：

perl -le 'print crypt "desiredPassword", "\$6\$customSalt\$"'

在RHEL 6上工作

为什么不对Centos / RHEL机器执行以下检查和修改，以确保使用sha512完成/ etc / shadow的所有密码哈希处理。然后，您可以使用passwd命令正常设置密码

#Set stronger password hasing
/usr/sbin/authconfig --test | grep sha512 > /dev/null
if [ $? -ne 0 ]; then
echo "Configuring sha512 password hashing"
sudo /usr/sbin/authconfig --enableshadow --passalgo=sha512 --updateall
fi

这是一种使用shell命令创建带有随机盐的SHA-512哈希密码的单行代码：

[root @ host] mkpasswd -m sha-512 MyPAsSwOrD $（openssl rand -base64 16 | tr -d'+ ='| head -c 16）

笔记

1. 您可能需要安装提供“ mkpasswd”的“ whois”软件包（Debian，SuSE等）。
2. 有关“ / etc / shadow”中行格式的详细信息，请参见crypt（3）。

阅读下面的评论以了解此答案的安全隐患

对于Ruby思维定式的人来说，这是一句话：

'password'.crypt('$6$' + rand(36 ** 8).to_s(36))

该脚本在Ubuntu 12.04 LTS上对我有用：https : //gist.github.com/JensRantil/ac691a4854a4f6cb4bd9

#!/bin/bash
read -p "Enter username: " username
read -s -p "Enter password: " mypassword
echo
echo -n $username:$mypassword | chpasswd -S -c SHA512

它具有以下某些其他替代品所缺少的功能：

• 它安全地产生盐。没有人应该依靠手动执行此操作。曾经
• 它在shell历史记录中不存储任何内容。
• 为了清楚起见，它会打印生成的用户密码，这在生成许多用户的密码时可能会很好。

哈希算法用于生成MESSAGE摘要，它们永远不适合密码，密码应使用某种HKDF （http://tools.ietf.org/rfc/rfc5869.txt）-请参阅PBKDF2或BCrypt

#!/usr/bin/env python

import getpass

from passlib.hash import sha512_crypt

if __name__ == "__main__":
    passwd = getpass.getpass('Password to hash: ')
    hash = sha512_crypt.encrypt(passwd)

    print hash

您可以根据需要从我的github存储库中克隆它：https : //github.com/antoncohen/mksha

它不是一个班轮，但它可以帮助某人：

import crypt, getpass, pwd, string, sys, random
randomsalt = ""
password = getpass.getpass()
choices = string.ascii_uppercase + string.digits + string.ascii_lowercase
for _ in range(0,8):
    randomsalt += random.choice(choices)
print crypt.crypt(password, '$6$%s$' % randomsalt)

$ htpasswd -c /tmp/my_hash user1
New password: 
Re-type new password: 
Adding password for user user1
$ cat /tmp/my_hash
user1:$apr1$oj1ypcQz$4.6lFVtKz2nr8acsQ8hD30

显然，您只需抓住第二个字段，就可以将文件添加到阴影中或与sudo一起使用（仍然很可能是阴影）后将其删除。

看一下crypt（3）的手册页，我想您会发现crypt工具已更新为使用glibc和sha256（$ 5）和sha512（$ 6），多个回合，更大的盐，等等。 。

显然，SHA512与/ etc / shadow的工作方式有关。

也就是说，此网页非常有帮助-特别是MKPASSWD，因为它可以解决我的问题。

给定一个可能“丢失”的密码，我可以使用MKPASSWD和salt来生成SHA512哈希，并确认/拒绝候选密码列表。

我会使用开膛手约翰-但至少在我的硬件（Raspberry Pi）和预算（什么都没有）上，约翰无法做到（它似乎不支持raspbian免费版中的高级crypt / glibc东西。

请注意，由于我有足够的权限来读取/写入/ etc / shadow，因此我可以覆盖哈希值，然后继续生活……这是一项学术练习。

注意Glibc注意此功能的glibc2版本支持其他加密算法。

   If salt is a  character  string  starting  with  the  characters
   "$id$" followed by a string terminated by "$":

          $id$salt$encrypted

   then instead of using the DES machine, id identifies the encryp‐
   tion method used and this then determines how the  rest  of  the
   password  string is interpreted.  The following values of id are
   supported:

          ID  | Method
          ─────────────────────────────────────────────────────────
          1   | MD5
          2a  | Blowfish (not in mainline glibc; added in some
              | Linux distributions)
          5   | SHA-256 (since glibc 2.7)
          6   | SHA-512 (since glibc 2.7)

   So  $5$salt$encrypted  is  an  SHA-256  encoded   password   and
   $6$salt$encrypted is an SHA-512 encoded one.

如果您需要用perl / python编写的单行代码的替代方案，则mkpasswd是一个很好的选择。尽管它已包含在Debian whois软件包中，但在CentOS / RHEL系统上却没有。我已经修改了Debian版本的mkpasswd，并包括了基于OpenSSL的更强大的盐生成机制。生成的二进制文件将完全保留所有Debian的version命令行参数。该代码可在github上找到，并且可以在任何Linux风格上进行编译： mkpasswd

我不确定SHA-512与的关系/etc/shadow。这些密码是crypted。

但是，如果您想使用SHA-512散列密码，可以通过进行echo -n the_password | sha512sum。您不能将输出用于/ etc / shadow。