Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012

Задание хешей паролей в системах, использующих authconfig
Задание хешей паролей в системах, использующих authselect

Окружение

• Версия РЕД ОС: 7.3
• Конфигурация: Рабочая станция

Для включения поддержки шифрования ГОСТ в OpenSSL необходимо установить пакет openssl-gost-engine.

Для этого перейдите в сеанс пользователя root:

su -

и выполните команду:

dnf install openssl-gost-engine

Задание хешей паролей в системах, использующих authconfig

Для настройки задания хешей паролей в соответствии с ГОСТ Р 34.11-2012 в системах, использующих authconfig, необходимо выполнить команду:

 openssl-switch-passhash gost

Для проверки настройки установите новый пароль пользователю:

 passwd <username>

Затем проверьте алгоритм хеша пароля командой:

 passwd -S <username> 

В выводе консоли видно, что до внесения настроек алгоритм определялся «SHA512», после — «gost-yescrypt» (ГОСТ Р 34.11-2012):

 passwd -S user 
 
 user PS 2022-03-04 0 99999 7 -1 (Пароль задан, шифр SHA512) 
 
 openssl-switch-passhash gost
 passwd user 
 
 Изменение пароля пользователя user.
 Новый пароль: 
 Повторите ввод нового пароля: 
 passwd: данные аутентификации успешно обновлены. 

 passwd -S user 
 
 user PS 2022-03-04 0 99999 7 -1 (Пароль задан, шифр gost-yescrypt)

Для того чтобы установить для паролей алгоритм хеширования «SHA512», как было в настройках по умолчанию, выполните команду:

 openssl-switch-passhash default

Задание хешей паролей в системах, использующих authselect

Проверьте текущий метод шифрования:

 passwd -S <username> 
 
 <username> PS 2023-11-13 0 99999 7 -1 (Пароль задан, шифр Yescrypt)

Проверьте текущий профиль и включенные функции:

 authselect current 
 
 Идентификатор профиля: sssd 
 Включенные функции: 
 - with-fingerprint 
 - with-silent-lastlog 

Проверьте текущий метод шифрования в текущем профиле:

 authselect test sssd | grep -e '^password.*pam_unix.so' 
 
 password    sufficient           pam_unix.so yescrypt shadow nullok use_authtok 
 password    sufficient           pam_unix.so yescrypt shadow nullok use_authtok 

Создайте новый профиль на базе текущего c именем, например, gost-yescrypt:

 authselect create-profile gost-yescrypt --base-on=sssd 
 
 Новый профиль создан в /etc/authselect/custom/gost-yescrypt 

Измените в новом профиле метод шифрования паролей пользователей на gost_yescrypt:

 sed -i 's/\byescrypt\b/gost_yescrypt/' /etc/authselect/custom/gost-yescrypt/password-auth
 sed -i 's/\byescrypt\b/gost_yescrypt/' /etc/authselect/custom/gost-yescrypt/system-auth

Выберите новый профиль с функциями, которые были в предыдущем профиле:

 authselect select custom/gost-yescrypt with-fingerprint with-silent-lastlog 
 
 Выбран профиль «custom/gost-yescrypt». 
 Следующие карты nsswitch перезаписаны профилем: 
 - passwd 
 - group 
 - netgroup 
 - automount 
 - services 
 
 Make sure that SSSD service is configured and enabled. See SSSD documentation for more information. 
   
 - with-fingerprint is selected, make sure fprintd service is configured and enabled 

Примените внесенные изменения:

 authselect apply-changes 
 
 Изменения успешно применены.

Проверьте установленные параметры:

 authselect current 
 
 Идентификатор профиля: custom/gost-yescrypt  
 Включенные функции: 
 - with-fingerprint 
 - with-silent-lastlog 
 
 authselect test custom/gost-yescrypt | grep -e '^password.*pam_unix.so' 
 
 password    sufficient          pam_unix.so gost_yescrypt shadow nullok use_authtok 
 password    sufficient          pam_unix.so gost_yescrypt shadow nullok use_authtok 

Задайте пароль пользователю:

 passwd <username> 
 
 Изменение пароля пользователя <username>.
 Новый пароль:
 Повторите ввод нового пароля:
 passwd: данные аутентификации успешно обновлены.

Проверьте метод шифрования:

 passwd -S <username> 
 
 <username> PS 2023-11-13 0 99999 7 -1 (Пароль задан, шифр GOST Yescrypt) 

Для возврата к профилю по умолчанию выберите прежний профиль с функциями:

 authselect select sssd with-fingerprint with-silent-lastlog 
 
 Выбран профиль «sssd». 
 Следующие карты nsswitch перезаписаны профилем: 
 - passwd 
 - group 
 - netgroup 
 - automount 
 - services 
 
 Make sure that SSSD service is configured and enabled. See SSSD documentation for more information. 
   
 - with-fingerprint is selected, make sure fprintd service is configured and enabled 

И примените изменения:

 authselect apply-changes 
 
 Изменения успешно применены. 

Новые пароли будут шифроваться в соответствии с выбранным профилем.

Дата последнего изменения: 09.09.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.