Solaris 10 密碼的加密安全性

原來Solaris 10 支援四種帳號密碼加密的演算法,如下面的說明:

識別字 演算法 說明 Man manual
1 crypt_bsdmd5 MD5演算法(與BSD、Linux相容),密碼最長可達255個字元。 crypt_bsdmd5(5)
2a crypt_bsdbf Blowfish演算法(與BSD相容),密碼最長可達255個字元。 crypt_bsdbf(5)
md5 crypt_sunmd5 Solaris的MD5,比BSD及Linux更為安全,密碼最長可達255個字元。 crypt_sunmd5(5)
__unix__ crypt_unix Unix傳統演算法,密碼最長為8個字元。 crypt_unix(5)


但是Solaris預設是使用最不安全的加密法__unix__,密碼的長度限制為8個字元,
但是有趣的是輸入的密碼可以超過8個字元。
例如新增一個使用者test01並將其密碼設定為0123456789
# useradd test01
# passwd test01

切換到另一個帳號來測試
# su - keven
Sun Microsystems Inc. SunOS 5.10  Generic January 2005
$ id
uid=100(keven) gid=1(other) -->已經切換到另一個帳號
$ su test01
Password:  -->輸入0123456789
$ id
uid=102(test01) gid=1(other)
$ exit
$ id
uid=100(keven) gid=1(other)
$ su test01
Password:  -->輸入01234567
$ id
uid=102(test01) gid=1(other)

Solaris 10演算法的設定是放在/etc/security/policy.conf裡面,找一下兩個參數:

CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6
此參數是設定可以使用哪些演算法,填入的是識別字,
系統預設已經都填進去了,所以我們不需要改。

CRYPT_DEFAULT=__unix__
預設要使用哪一個演算法,這裡要修改成想要用的演算法識別字。

雖然已經修改CRYPT_DEFAULT,但是由於CRYPT_ALGORITHMS_ALLOW設定允許多種演算法,
所以舊有的密碼還是使用舊的演算法,除非移除CRYPT_ALGORITHMS_ALLOW內的某一項加密法,
否則就是要重新設定新密碼,才能將密碼改為新的加密法。

Oracle Data Gurad Archive Gap