An toàn thông tin thực chiến

Fedora CoreOS xài thuật toán băm mật khẩu là yescrypt chứ không phải là SHA512

  • 30 Dec, 2024
  • Com 0

Trong khi dòng Red Hat Enterprise Linux 6 7 8 9 vẫn tiếp tục xài thuật toán băm mật khẩu SHA512 theo mặc định thì Fedora CoreOS đã xài thuật toán yescrypt để băm mật khẩu.

# cat /etc/pam.d/password-auth
# Generated by authselect
# Do not modify this file manually, use authselect instead. Any user changes will be overwritten.
# You can stop authselect from managing your configuration by calling 'authselect opt-out'.
# See authselect(8) for more details.

auth        required                                     pam_env.so
auth        required                                     pam_faildelay.so delay=2000000
auth        sufficient                                   pam_unix.so nullok
auth        required                                     pam_deny.so

account     required                                     pam_unix.so

password    requisite                                    pam_pwquality.so
password    sufficient                                   pam_unix.so yescrypt shadow nullok use_authtok
password    required                                     pam_deny.so

session     optional                                     pam_keyinit.so revoke
session     required                                     pam_limits.so
-session    optional                                     pam_systemd.so
session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid
session     required                                     pam_unix.so


# cat /etc/shadow
adm:*::0:99999:7:::
avahi-autoipd:*::0:99999:7:::
bin:*::0:99999:7:::
ceph:*::0:99999:7:::
chrony:*::0:99999:7:::
cockpit-ws:*::0:99999:7:::
daemon:*::0:99999:7:::
dbus:*::0:99999:7:::
dockerroot:*::0:99999:7:::
etcd:*::0:99999:7:::
ftp:*::0:99999:7:::
games:*::0:99999:7:::
halt:*::0:99999:7:::
kube:*::0:99999:7:::
lp:*::0:99999:7:::
mail:*::0:99999:7:::
nfsnobody:*::0:99999:7:::
nobody:*::0:99999:7:::
operator:*::0:99999:7:::
polkitd:*::0:99999:7:::
root:$y$j9T$pAiojzwDcEmej6eZVujRM1$CskDDiYuBMS9ihS4o0fNuPmLfxy/EVegVAJkCGyMkt2:20087:0:99999:7:::
rpc:*::0:99999:7:::
rpcuser:*::0:99999:7:::
shutdown:*::0:99999:7:::
sshd:*::0:99999:7:::
sssd:*::0:99999:7:::
sync:*::0:99999:7:::
systemd-bus-proxy:*::0:99999:7:::
systemd-network:*::0:99999:7:::
systemd-resolve:*::0:99999:7:::
systemd-timesync:*::0:99999:7:::
tcpdump:*::0:99999:7:::
tss:!:::::::
clevis:!:::::::
dnsmasq:!:::::::
zincati:!*:::::::
systemd-coredump:!*:::::::
systemd-oom:!*:::::::
core:$y$j9T$LFt5N0x6RLOUTwbQ0BW7A/$vHe1j.78cBUl6FN2tKkmAI0HK/6t3Rh8X8EBgnSfVE9:20081:0:99999:7:::

Mình chưa thử nhưng theo thông tin trên mạng thì từ Fedora 35 đã xài yescrypt.

yescrypt là thuật toán băm mật khẩu tốt hơn SHA512 do CPU và GPU giờ đã rất mạnh so với ngày xưa nên đập bể mật khẩu SHA512 rất nhanh.

Các hệ điều hành Linux xài thuật toán yescrypt có thể kể tên ra là Debian 11, Ubuntu 20.04 LTS.

Fedora CoreOS và Container-Optimized OS đều không xài /etc/fstab
Xài dnf yum để cài phần mềm trên Fedora CoreOS có được không?