[CentOS]
RHELやCentOSで利用されている認証リソースの設定を行うためのコマンドです。このコマンドを使うと、LDAP認証、Kerberos5 認証などへの切り替えをサクッとやってくれます。インストール時に起動される
のような画面は authconfig-tui コマンドによるものです。GUIチックに修正可能です。
# authconfig --test
でずらずらと出てきますが、とりあえずログインパスワードなどで、どんなハッシュが利用されているかは
# authconfig --test |grep -i algo
password hashing algorithm is md5
で分かります。上記の例だと、md5 が利用されていますが、md5 はハッシュとしては、すでに脆弱だと言われているので、よろしくないですね。CentOS5 までは、md5 が標準になっています。
OS | encrypt method (default) |
---|---|
RHEL5/CentOS5 | md5 |
RHEL6/CentOS6 | sha512 |
RHEL7/CentOS7 | sha512 |
Ubuntu14.04(参考) | sha512 |
FreeBSD9.0(参考) | md5 |
FreeBSD9.1(参考) | sha512 |
概ね上記のようになっているようです。ただし、一部の IaaSでは、内部システムとの兼ね合いからか、わざわざ sha512 を md5 に変更しているケースがあるので、きちんと確認しましょう。ちょっと気の利いたホスティング会社だと、CentOS5 でも、sha512 になって引き渡していたりするようです。
すでに md5 は脆弱ですので、sha512 に変更します。
# authconfig --passalgo=sha512 --update
上記のコマンドで /etc/login.defs 内の
ENCRYPT_METHOD MD5
が
ENCRYPT_METHOD SHA512
に修正されます。
/etc/libuser.conf
-crypt_style = sha512
/etc/login.defs-ENCRYPT_METHOD SHA512
/etc/pam.d/passwprd-auth-ac-password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
/etc/pam.d/system-auth-ac-password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
/etc/sysconfig/authconfig
-PASSWDALGORITHM=sha512
ただし、これは次回から sha512 で encrypt されるのであって、既存のパスワードには影響を与えません(/etc/shadowなど)
なので、encrypt method修正後は、passwdコマンドで、再度パスワードを付け直しましょう。
$<ID>$<SALT>$<PWD>