https://www.opennet.ru/openforum/vsluhforumID1/89149.html Приехал новый сервер. Стоит задача перенести более сотни пользователей со старой FreeBSD 4.9 на новую FreeBSD 7.3. И там и там пока метод шифрования паролей MD5. Но в 7.3 хотелось бы перейти на Blowfish. Прочитаны статьи и форум о переносе пользователей и о замене метода шифрования паролей MD5 на Blowfish. Но я до сих пор в FreeBSD новичёк и не могу совместить их в единый алгоритм. Как перенести пользователей? Перейти на старой машине на blowfish сначала? Перенести с паролями MD5 и потом новый серевер переводить на Blowfish? Несколько смущяет так же и то, что на новой машине хэш моего пароля несколько отличается от хэша на старой машине, хоть пароль на обоих машинах абсолютно одинаковый. <br> https://www.opennet.ru/openforum/vsluhforumID1/89149.html#17 Fri, 18 Jun 2010 06:05:36 GMT &gt;&gt;А вот тут тоже есть замечание. Первые хэши паролей на старой системе <br>&gt;&gt;начинаются с произвольного символа. И таких пользователей примерно с полсотни. А <br>&gt;&gt;вот далее уже идёт узнаваемая комбинация $1$. <br>&gt;<br>&gt;Я тут подумал, а не являются ли хэши, начинающиеся с произвольного символа, <br>&gt;захешированы по DES? <br><br> Собственно говоря, мой почтовый сервер в течении многих лет перелезал с FreeBSD2.2.8 до<br>6.4, и всегда перенос master.passwd не давал сбоев, кроме uid... Далее - в pop3 пароли идут plaintext, поэтому любой сниффер их легко отловит. Напишите ОЧЕНЬ ВАЖНОЕ письмо, и заставьте его получить - вот вам и пароли...<br> https://www.opennet.ru/openforum/vsluhforumID1/89149.html#16 Thu, 17 Jun 2010 23:25:07 GMT &gt;А вот еще 5 копеек в кассу - если юзеры - чисто <br>&gt;почтовые, и нет шифрования, можно на пару дней включить на серваке <br>&gt;сниффер pop3 паролей, будет список :) <br><br>кстати, замечательный способ.<br> https://www.opennet.ru/openforum/vsluhforumID1/89149.html#15 Thu, 17 Jun 2010 04:47:05 GMT &gt;А вот тут тоже есть замечание. Первые хэши паролей на старой системе <br>&gt;начинаются с произвольного символа. И таких пользователей примерно с полсотни. А <br>&gt;вот далее уже идёт узнаваемая комбинация $1$. <br><br>Я тут подумал, а не являются ли хэши, начинающиеся с произвольного символа, захешированы по DES?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/89149.html#14 Wed, 16 Jun 2010 07:23:07 GMT А вот еще 5 копеек в кассу - если юзеры - чисто почтовые, и нет шифрования, можно на пару дней включить на серваке сниффер pop3 паролей, будет список :) <br> https://www.opennet.ru/openforum/vsluhforumID1/89149.html#13 Wed, 16 Jun 2010 05:22:17 GMT лично я вижу такое решение:<br>1. Перенос файлов /etc/master.passwd и /etc/group со старого сервера на новый<br>2. pwd_mkdb /etc/master.passwd<br>3. Введение заново паролей пользователей (при условии, что по дефолту уже стоит blowfish)<br> https://www.opennet.ru/openforum/vsluhforumID1/89149.html#12 Wed, 16 Jun 2010 04:32:34 GMT &gt;Если посмотреть, как устроен master.passwd, а также почитать man <br>&gt;5 passwd и man 3 crypt, то видно, что каждый хеш <br>&gt;начинается с $цифра$, по цифре "познаётся" метод хеширования: 1 - MD5, <br>&gt;2 - Blowfish и т. д. Таким образом проверятель паролей всегда <br>&gt;в курсе, как проверять. <br><br>А вот тут тоже есть замечание. Первые хэши паролей на старой системе начинаются с произвольного символа. И таких пользователей примерно с полсотни. А вот далее уже идёт узнаваемая комбинация $1$. <br><br>Итак, правильно ли я понимаю, что мне следует вначале активировать на новой машине хэширование Blowfish. Затем:<br> pwd_mkdb my.master.passwd<br> vipw<br> reboot<br>?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/89149.html#11 Wed, 16 Jun 2010 03:55:55 GMT &gt;Т.е. можно скопировать старую часть master.passwd в новый файл и хэши MD5 <br>&gt;и Blowfish будут мирно сосуществовать? Самнения бар. <br><br>Думаю, что будут. Если посмотреть, как устроен master.passwd, а также почитать man 5 passwd и man 3 crypt, то видно, что каждый хеш начинается с $цифра$, по цифре "познаётся" метод хеширования: 1 - MD5, 2 - Blowfish и т. д. Таким образом проверятель паролей всегда в курсе, как проверять.<br> https://www.opennet.ru/openforum/vsluhforumID1/89149.html#10 Tue, 15 Jun 2010 18:49:20 GMT &gt;на чистой системе пользователей еще нет, нес чем будет пересекаться <br>&gt;и что вам мешает создать одного единственного себя с нужным ИД? <br><br>Я так и сделал уже с самого начала. Могу себя со старой машины и не переносить. Вопрос был в том, не получит ли кто-то другой в процессе автомата мой ID? <br><br>&gt;и по времени от старта топика вы уже могли поднять пару виртуалок <br>&gt;и попробовать ;) <br><br>А то у меня других дел нет. Я тут и швец и жнец и на барабане дудец.<br> https://www.opennet.ru/openforum/vsluhforumID1/89149.html#9 Tue, 15 Jun 2010 18:11:13 GMT &gt;ID юзеров не пересекуться? В смысле не потеряю ли единственного себя (не <br>&gt;root) из-за того, что мой идентификатор изменится? <br><br>на чистой системе пользователей еще нет, нес чем будет пересекаться <br>и что вам мешает создать одного единственного себя с нужным ИД?<br><br>и по времени от старта топика вы уже могли поднять пару виртуалок и попробовать ;)<br>