authconfig

潟若若菴遵

[CentOS]

authconfig とは

RHELやCentOSで利用されている認証リソースの設定を行うためのコマンドです。このコマンドを使うと、LDAP認証、Kerberos5 認証などへの切り替えをサクッとやってくれます。インストール時に起動される

authconfig-tui.png

のような画面は authconfig-tui コマンドによるものです。GUIチックに修正可能です。

現状の確認

# authconfig --test

でずらずらと出てきますが、とりあえずログインパスワードなどで、どんなハッシュが利用されているかは

# authconfig --test |grep -i algo

password hashing algorithm is md5

で分かります。上記の例だと、md5 が利用されていますが、md5 はハッシュとしては、すでに脆弱だと言われているので、よろしくないですね。CentOS5 までは、md5 が標準になっています。

OS encrypt method (default)
RHEL5/CentOS5 md5
RHEL6/CentOS6 sha512
RHEL7/CentOS7 sha512
Ubuntu14.04(参考) sha512
FreeBSD9.0(参考) md5
FreeBSD9.1(参考) sha512

概ね上記のようになっているようです。ただし、一部の IaaSでは、内部システムとの兼ね合いからか、わざわざ sha512 を md5 に変更しているケースがあるので、きちんと確認しましょう。ちょっと気の利いたホスティング会社だと、CentOS5 でも、sha512 になって引き渡していたりするようです。

encrypt method の変更

すでに md5 は脆弱ですので、sha512 に変更します。

# authconfig --passalgo=sha512 --update

上記のコマンドで /etc/login.defs 内の

ENCRYPT_METHOD MD5

ENCRYPT_METHOD SHA512

に修正されます。

/etc/libuser.conf

-crypt_style = sha512

  1. crypt_style = md5

/etc/login.defs-ENCRYPT_METHOD SHA512

  1. ENCRYPT_METHOD MD5

/etc/pam.d/passwprd-auth-ac-password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

  1. password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok

/etc/pam.d/system-auth-ac-password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

  1. password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok

/etc/sysconfig/authconfig

  1. PASSWDALGORITHM=md5

-PASSWDALGORITHM=sha512

ただし、これは次回から sha512 で encrypt されるのであって、既存のパスワードには影響を与えません(/etc/shadowなど)

なので、encrypt method修正後は、passwdコマンドで、再度パスワードを付け直しましょう。

/etc/shadow の中身

$<ID>$<SALT>$<PWD>

参考