Cách mã hóa mật khẩu người dùng trong Freeradius

Gần đây tôi đã thiết lập một máy chủ freeradius và muốn thay đổi mật khẩu người dùng hiện ở dạng văn bản rõ ràng thành mật khẩu được mã hóa trong tệp /etc/freeradius/3.0/users.

Đây là những gì nó trông giống như trên máy chủ.

Khi tôi xác thực trên máy chủ, tôi có thể thấy tên người dùng và mật khẩu trong /var/log/freeradius/radius.log tập tin. Làm thế nào tôi có thể mã hóa nó? Tôi đang sử dụng Debian.

Nói ngắn gọn,

1. Bạn cần chỉ định định dạng băm mật khẩu thay vì Cleartext-Mật khẩu, và
2. Bạn cần thiết lập auth_goodpass và auth_badpass thành 'không' để ngăn đăng nhập mật khẩu.

Chỉ định định dạng băm

Như được mô tả trong trang người đàn ông rlm_pap, có một số cài đặt băm mật khẩu có thể được sử dụng thay vì Cleartext-Mật khẩu. Hãy để chúng tôi lấy một ví dụ đơn giản, MD5-Mật khẩu:

#bob Cleartext-Password := "xin chào"
bob MD5-Mật khẩu:= "7d793037a0760186574b0282f2f435e7"
        Reply-Message := "Xin chào, %{User-Name}"

Bạn có thể dễ dàng tạo hàm băm mật khẩu md5 như sau:

$ echo -n thế giới | md5sum | awk '{in $1}'
7d793037a0760186574b0282f2f435e7
$

Khi chúng tôi kiểm tra điều này với máy chủ của mình, chúng tôi thấy nó xác thực:

$ radtest bob thế giới máy chủ cục bộ 1 thử nghiệm123
Đã gửi Id yêu cầu truy cập 214 từ 0.0.0.0:34920 đến 127.0.0.1:1812 chiều dài 73
        Tên người dùng = "bob"
        Mật khẩu người dùng = "thế giới"
        Địa chỉ NAS-IP = 127.0.1.1
        Cổng NAS = 1
        Trình xác thực thư = 0x00
        Cleartext-Password = "thế giới"
Đã nhận Access-Accept Id 214 từ 127.0.0.1:1812 đến 127.0.0.1:34920 chiều dài 32
        Reply-Message = "Xin chào, bob"

Bạn cũng có thể chỉ định hàm băm của mình với tên chung Mật khẩu-Với-Tiêu đề Tùy chọn:

#bob Cleartext-Password := "xin chào"
bob Mật khẩu-With-Header := "{md5}7d793037a0760186574b0282f2f435e7"
        Reply-Message := "Xin chào, %{User-Name}"

Điều này có tác dụng tương tự như MD5-Mật khẩu phiên bản đã làm. Danh sách các tiêu đề được chấp nhận nằm trên đó rlm_pap trang người đàn ông.

Một trong những tiêu đề thú vị nhất hiện có là Crypt-Mật khẩu bởi vì nó sẽ chạy hàm băm mật khẩu thông qua libcrypt và do đó sẽ hoạt động với bất kỳ hàm băm nào bạn tìm thấy trong /etc/shadow. Ví dụ: trên hệ thống Debian, hascrypt hash:

bob Crypt-Password := "$y$j9T$2fOq6bdva3zoX6OfH.JvY0$PbUGbp1U.UXFAnGrkDrYnLZEDK.PXO/HXDsBn4mCsM8"
        Reply-Message := "Xin chào, %{User-Name}"

(Mật khẩu trong trường hợp này là a38sgena)

Vô hiệu hóa đăng nhập mật khẩu

Để tắt ghi nhật ký mật khẩu, hãy tìm auth_goodpass và auth_badpass lựa chọn trong vòng bán kính.conf tập tin:

# Đăng nhập mật khẩu với các yêu cầu xác thực.
# auth_badpass - ghi lại mật khẩu nếu bị từ chối
# auth_goodpass - ghi lại mật khẩu nếu đúng
#
# giá trị được phép: {không, có}
#
auth_badpass = không
auth_goodpass = không

Hãy chắc chắn rằng chúng được đặt thành 'không' và quá trình ghi nhật ký của bạn sẽ dừng bao gồm cả mật khẩu.

Đây là danh sách các thuộc tính tương ứng với phương pháp băm: https://freeradius.org/radiusd/man/rlm_pap.txt

Mô tả thuộc tính tiêu đề
------ --------- -----------
{clear} Cleartext-Password Mật ​​khẩu văn bản rõ ràng
{cleartext} Cleartext-Password Mật ​​khẩu văn bản rõ ràng
{crypt} Crypt-Password Mật ​​khẩu được "mã hóa" theo kiểu Unix
{md5} Mật khẩu băm MD5-Mật khẩu MD5
{base64_md5} Mật khẩu băm MD5-Mật khẩu MD5
{smd5} Mật khẩu băm MD5-Mật khẩu MD5, với một loại muối
{sha} SHA-Password Mật ​​khẩu băm SHA1
                SHA1-Mật khẩu SHA1 băm mật khẩu
{ssha} SSHA-Password Mật ​​khẩu băm SHA1, với một loại muối
{sha2} SHA2-Mật khẩu SHA2 băm mật khẩu
{sha224} SHA2-Mật khẩu SHA2 băm mật khẩu
{sha256} SHA2-Mật khẩu SHA2 băm mật khẩu
{sha384} SHA2-Mật khẩu SHA2 băm mật khẩu
{sha512} SHA2-Mật khẩu SHA2 băm mật khẩu
{ssha224} SSHA2-224-Mật khẩu SHA2 băm mật khẩu, với một loại muối
{ssha256} SSHA2-256-Mật khẩu SHA2 băm mật khẩu, với một loại muối
{ssha384} SSHA2-384-Mật khẩu SHA2 băm mật khẩu, với muối
{ssha512} SSHA2-512-Mật khẩu SHA2 băm mật khẩu, với một loại muối
{nt} NT-Password Mật ​​khẩu băm của Windows NT
{nthash} NT-Password Mật ​​khẩu băm của Windows NT
{md4} NT-Password Mật ​​khẩu băm của Windows NT
{x-nthash} NT-Password Mật ​​khẩu băm của Windows NT
{ns-mta-md5} NS-MTA-MD5-Password Mật ​​khẩu băm Netscape MTA MD5
{x-orcllmv} LM-Password Mật ​​khẩu băm Windows LANMAN
{X-orclntv} NT-Password Mật ​​khẩu băm Windows NT

Đừng quên rằng giao thức và phương pháp bạn đang sử dụng để xác thực ứng dụng khách của mình sẽ ảnh hưởng đến phương pháp băm mà bạn có thể sử dụng.

Bạn có thể tìm thấy một bảng mà tôi đã sử dụng để định cấu hình máy chủ Freeradius của mình để tương thích với giao thức và mật khẩu: http://deployingradius.com/documents/protocols/compatibility.html

Để tạo mật khẩu muối sha256, tôi đã sử dụng đoạn mã sau trên github (bạn cần chỉnh sửa 2 dòng cuối để thay đổi mật khẩu và muối): https://gist.github.com/bestrocker221/f506eee8ccadc60cab71d5f633b7cc07