主页 / server / 问题 / 837744
Accepted
ServerSideSkittles
Asked: 2017-03-12 17:08:32 +0800 CST

Pure-ftpd with MySQL - Crypt() 没有使用散列密码登录

  • 772

我正在使用纯 ftpd 和 mysql 来验证用户。

这是我的 mysql.conf

MYSQLServer     localhost
MYSQLPort       3306
MYSQLSocket     /var/run/mysqld/mysqld.sock
MYSQLUser       user
MYSQLPassword   pwd
MYSQLDatabase   my_db
MYSQLCrypt      crypt()
MYSQLGetPW      SELECT password FROM ftp_users WHERE login="\L"
MYSQLGetUID     SELECT u_id FROM ftp_users WHERE login="\L"
MYSQLGetGID     SELECT g_id FROM ftp_users WHERE login="\L"
MYSQLGetDir     SELECT dir FROM ftp_users WHERE login="\L"
MySQLGetQTAFS   SELECT quota_files FROM ftp_users WHERE login="\L"
MySQLGetQTASZ  SELECT quota_size FROM ftp_users WHERE login="\L"
MySQLGetRatioUL SELECT ul_ratio FROM ftp_users WHERE login="\L"
MySQLGetRatioDL SELECT dl_ratio FROM ftp_users WHERE login="\L"
MySQLGetBandwidthUL SELECT ul_bandwidth FROM ftp_users WHERE login="\L"
MySQLGetBandwidthDL SELECT dl_bandwidth FROM ftp_users WHERE login="\L"

然后我尝试重新启动 pure-ftpd-mysql 和 pure-ftpd

我的表有一个字段,密码为

password    varchar(255)

当我使用明文密码插入用户时,我可以使用登录名和密码登录。当我插入带有“lol”的哈希时,例如 SHA512 或 BCrypt 哈希。它不允许我使用密码“lol”登录。

BCrypt $2a$06$JrvxpMAvi6MnRSIvZQMMxOffIDLtEP7lrKNe0k0CTsK51v4zujfpS
SHA512 3DD28C5A23F780659D83DD99981E2DCB82BD4C4BDC8D97A7DA50AE84C7A7229A6DC0AE8AE4748640A4CC07CCC2D55DBDC023A99B3EF72BC6CE49E30B84253DAE

但是,如果我粘贴到哈希中,它会成功登录,因为我认为它将它作为纯文本值。

我尝试将 mysql.conf 更改为

MYSQLCrypt      crypt

但这完全打破了它。有很多网站说要使用 crypt,但我的配置文件中的注释将 crypt() 列为选项之一。

我已经阅读了很多帖子和论坛,但我发现最接近的是这个,它根本不起作用。

https://serverfault.com/a/630806/302696

这是 pure-ftpd 的开头

Starting ftp server: Running: /usr/sbin/pure-ftpd-mysql -l mysql:/etc/pure-ftpd/db/mysql.conf -l puredb:/etc/pure-ftpd/pureftpd.pdb -l puredb:/etc/pure-ftpd/pureftpd.pdb -E -F /etc/pure-ftpd/fortunes.txt -j -H -J ALL:!aNULL:!SSLv3 -u 1000 -8 UTF-8 -A -O clf:/var/log/pure-ftpd/transfer.log -B

所以基本上它没有使用 crypt 或者我没有正确使用它。我虽然它可以用 mysql 本机处理 SHA512,但它不能。我能想到的其他事情是我需要带有配置的代码,但我不明白为什么它需要任何东西。

ftp mysql authentication encryption pureftpd

1 个回答

  1. Best Answer

    ---开始tl;博士---

    假设您的 Pure-FTPd 正在使用 glibc 2.7+ 的 Linux 主机上运行:

    • 使用MySQLCrypt crypt-不带括号

    • 在运行 Pure-FTPd 的同一系统上运行此 Python 3 单线:

      python3 -c 'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))'

    • 输入所需的密码。

    • 将加密后的密码(以 开头$6$)复制并粘贴到数据库中。

    ---结束tl;博士---

    非明文背后的想法MySQLCrypt是完全禁用明文密码。括号中的MySQLCrypt crypt()仍然接受哈希作为明文密码表明 Pure-FTPd 将字符串crypt()视为未知的 crypt 方法并完全忽略该指令,而是使用默认的明文 crypt 方法。未加括号的MySQLCrypt crypt“破坏”明文登录实际上是朝着正确方向迈出的一步:它禁用了明文登录,并开始将数据库中的密码视为仅加密。

    现在,问题是如何正确地将密码散列成可接受的形式。根据src/mysql.cPure-FTPd 的说法,MySQLCrypt crypt会使其使用crypt()功能,其可接受的形式取决于实现。例如,如果您在具有 glibc 2.7 或更高版本的 Linux 机器上运行 Pure-FTPd,则接受 4 种形式:

    • SHA-512(以 开头$6$
    • SHA-256(以 开头$5$
    • MD5(以 开头$1$
    • 传统 DES(以字母数字字母开头);虽然应该避免

    有几种调用系统的方法crypt();我首选的方法是 Python 3 的内置crypt模块。这个简短的脚本可以满足我们的要求:

    import sys
from crypt import crypt, METHOD_SHA512
from getpass import getpass

print(crypt(getpass("Password: "), METHOD_SHA512))

    或者,如果您更喜欢可点击三次、易于复制和粘贴的单行:

    python3 -c 'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))'

    示例运行:

    root@ip-172-16-16-117:~# python3 -c 'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))'
Password: 
$6$vTbR62VMHKQNqnEk$TmfeMj/Q6G62RM.hi7liD0IrEvtUp2.jgXbfVRPone/sFTeOwJKftTrrW9j8Hd8.kJsF36OKwP4xHrnURGZTo/

    crypt()为了使用相同的实现,该命令必须在运行 Pure-FTPd 的同一主机上运行。

    开头的长行$6$是加密密码。$6$前缀本身将密码标记为使用 SHA-512 散列。如果系统crypt()不支持 SHA-512,则输出不会启动$6$;在这种情况下,应该使用另一种算法。例如,在 macOS 上,可能的输出是$6UCLzI8sPv16. 请注意,它太短并且在$6: 之后也缺少美元符号,这是因为 macOS 实现crypt()不支持 SHA-512。

    • 5

相关问题