Recentemente configurei um servidor freeradius e gostaria de alterar a senha do usuário que está atualmente em texto não criptografado para criptografada no arquivo /etc/freeradius/3.0/users.
Isto é o que parece no servidor.
Quando me autentico no servidor, posso ver o nome de usuário e a senha no /var/log/freeradius/radius.log
arquivo. Como posso criptografá-lo? Estou usando o Debian.
Responder1
Resumidamente,
- Você precisa especificar um formato de hash de senha em vez de
Cleartext-Password
e - Você precisa definir
auth_goodpass
eauth_badpass
'não' para evitar o registro de senhas.
Especificando um formato hash
Conforme descrito noPágina de manual rlm_pap, há diversas configurações de hash de senha que podem ser usadas em vez de Cleartext-Password
. Tomemos um exemplo simples MD5-Password
:
#bob Cleartext-Password := "hello"
bob MD5-Password:= "7d793037a0760186574b0282f2f435e7"
Reply-Message := "Hello, %{User-Name}"
Você pode gerar facilmente um hash de senha md5 como este:
$ echo -n world | md5sum | awk '{print $1}'
7d793037a0760186574b0282f2f435e7
$
Quando testamos isso em nosso servidor, vemos que ele é autenticado:
$ radtest bob world localhost 1 testing123
Sent Access-Request Id 214 from 0.0.0.0:34920 to 127.0.0.1:1812 length 73
User-Name = "bob"
User-Password = "world"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1
Message-Authenticator = 0x00
Cleartext-Password = "world"
Received Access-Accept Id 214 from 127.0.0.1:1812 to 127.0.0.1:34920 length 32
Reply-Message = "Hello, bob"
Você também pode especificar seu hash com a Password-With-Header
opção genérica:
#bob Cleartext-Password := "hello"
bob Password-With-Header := "{md5}7d793037a0760186574b0282f2f435e7"
Reply-Message := "Hello, %{User-Name}"
Isso tem o mesmo efeito que a MD5-Password
versão. A lista de cabeçalhos aceitos está nessarlm_pappágina de manual.
Um dos cabeçalhos mais interessantes disponíveis é Crypt-Password
porque ele executará hashes de senha por meio do libcrypt e, portanto, funcionará com quaisquer hashes que você encontrar no /etc/shadow
. Por exemplo, em um sistema Debian, hashes yescrypt:
bob Crypt-Password := "$y$j9T$2fOq6bdva3zoX6OfH.JvY0$PbUGbp1U.UXFAnGrkDrYnLZEDK.PXO/HXDsBn4mCsM8"
Reply-Message := "Hello, %{User-Name}"
(A senha neste caso é a38sgena
)
Desativando o registro de senhas
Para desativar o registro de senhas, encontre as seleções auth_goodpass
e auth_badpass
no radiusd.conf
arquivo:
# Log passwords with the authentication requests.
# auth_badpass - logs password if it's rejected
# auth_goodpass - logs password if it's correct
#
# allowed values: {no, yes}
#
auth_badpass = no
auth_goodpass = no
Certifique-se de que estejam definidos como 'não' e seu registro deixará de incluir senhas.
Responder2
Aqui está a lista de atributos correspondentes ao método hash:https://freeradius.org/radiusd/man/rlm_pap.txt
Header Attribute Description
------ --------- -----------
{clear} Cleartext-Password Clear-text passwords
{cleartext} Cleartext-Password Clear-text passwords
{crypt} Crypt-Password Unix-style "crypt"ed passwords
{md5} MD5-Password MD5 hashed passwords
{base64_md5} MD5-Password MD5 hashed passwords
{smd5} SMD5-Password MD5 hashed passwords, with a salt
{sha} SHA-Password SHA1 hashed passwords
SHA1-Password SHA1 hashed passwords
{ssha} SSHA-Password SHA1 hashed passwords, with a salt
{sha2} SHA2-Password SHA2 hashed passwords
{sha224} SHA2-Password SHA2 hashed passwords
{sha256} SHA2-Password SHA2 hashed passwords
{sha384} SHA2-Password SHA2 hashed passwords
{sha512} SHA2-Password SHA2 hashed passwords
{ssha224} SSHA2-224-Password SHA2 hashed passwords, with a salt
{ssha256} SSHA2-256-Password SHA2 hashed passwords, with a salt
{ssha384} SSHA2-384-Password SHA2 hashed passwords, with a salt
{ssha512} SSHA2-512-Password SHA2 hashed passwords, with a salt
{nt} NT-Password Windows NT hashed passwords
{nthash} NT-Password Windows NT hashed passwords
{md4} NT-Password Windows NT hashed passwords
{x-nthash} NT-Password Windows NT hashed passwords
{ns-mta-md5} NS-MTA-MD5-Password Netscape MTA MD5 hashed passwords
{x- orcllmv} LM-Password Windows LANMAN hashed passwords
{X- orclntv} NT-Password Windows NT hashed passwords
Não esqueça que o protocolo e método que você está usando para autenticar seu cliente afetarão o método de hash que você pode usar.
Você pode encontrar uma tabela que usei para configurar meu servidor Freeradius para compatibilidade de protocolo e senha:http://deployingradius.com/documents/protocols/compatibility.html
Para gerar uma senha salgada sha256, usei o seguinte script no github (você precisa editar as 2 últimas linhas para alterar a senha e o salt):https://gist.github.com/bestrocker221/f506eee8ccadc60cab71d5f633b7cc07