Зашифрованный пароль в Berkeley DB для vsftpd с помощью pam_userdb.so

Question

Я пытаюсь установить vsftpd с некоторыми виртуальными пользователями, используя DB Berkeley. В основном я следую этому руководству: http://www.neant.ro/2012/04/secure-ftp-with-vsftpd/. Все работает отлично, но я хочу, чтобы пароли хэшировали внутри базы данных. Я использую CentOS 6.3 с glibc 2.12.

Из manpage pam_userdb.so Я предполагаю, что могу использовать то, что предоставляет crypt. Если мы рассмотрим справочную страницу crypt (3), мы сможем использовать SHA-256 и SHA-512. Я бы использовал один из них.

Я сомневаюсь, как его реализовать. Из того, что я знаю, мне нужно перейти в файл pam.d и отредактировать и добавить аргумент crypt, но ... какое значение я должен ему дать? 5 для SHA-256? 6 для SHA-512?

auth sufficient pam_userdb.so db=/path/to/db/virtual-users crypt=? 
account sufficient pam_userdb.so db=/path/to/db/virtual-users crypt=? 
session sufficient pam_loginuid.so 

Теперь мне нужен пароль в SHA-256/SHA-512 внутри базы данных. Какой правильный способ получить хэш? Полагаю, я должен использовать функцию криптографии. Тем не менее, мне нужно получить его с помощью Ruby, есть ли способ?

Заранее спасибо за помощь,

Answer 1

Там нет никакой возможности. Вы должны сказать crypt=crypt (другие варианты отклонены), но mod_userdb не будет принимать хэши не-DES, по крайней мере, пока вы не получите версию PAM, в которой есть this fix (Ubuntu Saucy не для одного).

Я, например, скомпилировал свой собственный PAM, чтобы иметь это исправление.

Answer 2

Это fixed. Версия Debian Jessie 1.1.8-3 libpam-модулей также исправлена.

Чтобы вставить использование линии db5.3-Util или аналогичные:

{ echo user; echo hash; } | db5.3_load -T -t hash /tmp/passwd.db

Для создания склеп-действительный сильный hash:

echo pass|mkpasswd -s -m sha-512

"Отладка" вариант этот модуль pam полезен (проверьте /var/log/auth.log) как есть pamtester