Linux下利用glibc2库和crypt()函数生成用户密码

Linux用户的密码由函数crypt()实现。crypt()是一个密码加密函数(将密码加密,明文变成密文),该函数基于数据加密标准(DES,Data Encryption Standard )算法以及基于DES的其他变种算法,该函数不依赖于计算机硬件实现数据加密。DES算法仅适合于加密字符串,也就是用于生成密码。尽管密码的生成有很多种方法。

(1)关于salt

salt是一种混淆key的一段范围在abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789./中的“随机”字符串,具体最小长度和最大长度根据加密方法的不同而不同。更多信息可以参考网上的其他文档。

(2)加密策略

更精准的说,输入到系统中所谓密码,只是一个打开一段加密内容的key而已。按照这种说法,可以这样理解:

unique key+unique salt --> unique encryption,即根据key和salt能得到唯一的加密内容。

但最好的期望是:

unique encryption + unique salt !--> unique key,即根据加密内容和salt不能逆向得到key。

(3)关于glibc2和ctypt的相关知识,可以man glibc和man crypt的Linux Programmer's Manual ( 3, 7 ) 部分,或者自行搜索相关文档

(4)关于加密方法:

CentOSUbuntu里面的密码都是使用sha-512加密方法,sha-512与数字6对应。

其他的加密方法可以参考如下一段C语言定义:

static const struct crypt_method methods[] = {
    /* method         
prefix  minlen, maxlen  rounds description */
    { "des",            "",   
2,      2,      0,
        N_("standard 56 bit DES-based crypt(3)") },
    { "md5",            "$1$",  8,      8,      0, "MD5" },
#if defined OpenBSD
|| defined FreeBSD || (defined __SVR4 && defined __sun)
    {
"bf",            "$2a$", 22,    22,    1, "Blowfish" },
#endif
#if
defined HAVE_LINUX_CRYPT_GENSALT
    { "bf",            "$2a$", 22,   
22,    1, "Blowfish, system-specific on 8-bit chars" },
    /* algorithm 2y
fixes CVE-2011-2483 */
    { "bfy",            "$2y$", 22,    22,    1,
"Blowfish, correct handling of 8-bit chars" },
#endif
#if defined
FreeBSD
    { "nt",            "$3$",  0,      0,      0, "NT-Hash"
},
#endif
#if defined HAVE_SHA_CRYPT
    /* */
    { "sha-256",        "$5$",  8,      16,    1, "SHA-256" },
    {
"sha-512",        "$6$",  8,      16,    1, "SHA-512" },
#endif
    /* */
    /*
    * Actually the maximum salt length is arbitrary, but
Solaris by default
    * always uses 8 characters:
    * \
    * 
usr/src/lib/crypt_modules/sunmd5/sunmd5.c#crypt_gensalt_impl
    */
#if
defined __SVR4 && defined __sun
    { "sunmd5",        "$md5$",
8,    8,      1, "SunMD5" },
#endif
    { NULL,            NULL, 
0,      0,      0, NULL }
};

(5)Linux系统中的一段实例,可参见/etc/shadow文件

$6$yoursalt$005Gz1.zSYgebPp/u27h5ijAn9crpAcuFVJrnMb5CFmVfhIluNJCIv3w3frI1TF4C/THD8MHVpk4i3eVIuc8y1

其中,上述字符串中有3个$,$6$代表使用sha-512加密算法, $yoursalt$表示salt的值。

实现

(1)C语言实现:

vim encryptionwithcrypt.c

#define _XOPEN_SOURCE
#include <unistd.h>
#include <stdio.h>
int  main(void)
{
    char *encryption;
    char key[] = "yourkey";
    encryption= crypt(key, "$6$yoursalt$");
    printf("encryption is: %s\n", encryption);
    return 0;
}

gcc -lcrypt encryptionwithcrypt.c -o encryptionwithcrypt   
./encryptionwithcrypt

(2)其他工具实现:

如果不想借助crypt()函数生成密码,Ubuntu用户可以用whois包中提供的mkpasswd,命令得到密码,当然借助其他的工具也有其他办法。

# Ubuntu only, available on Ubuntu
which mkpassed || apt-get install -y whois
mkpasswd  --salt="yoursalt" --method=sha-512

参考

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/cc40b259257ba0331b0cd5cc29fdd562.html