현재 SHA-256 및 SHA-512 해시 기능을 사용한 암호 해싱이 지원됩니다.
설치된 시스템에서 SHA-256 또는 SHA-512로 전환하려면 authconfig --passalgo=sha256 --kickstart 또는 authconfig --passalgo=sha512 --kickstart 명령을 실행합니다. 기존의 사용자 계정은 암호를 변경하기 전 까지 영향을 받지 않게 됩니다.
새로 설치된 시스템의 경우, SHA-256 또는 SHA-512 사용은 킥스타트 설치에서만 설정될 수 있습니다. 이를 위해, 킥스타트 명령 auth의 --passalgo=sha256 또는 --passalgo=sha512 옵션을 사용합니다; 또한, --enablemd5 옵션이 있을 경우 이를 삭제합니다.
설치 프로그램이 킥스타트를 사용하지 않을 경우, 위의 설명 대로 authconfig를 사용한 후, 설치 후 생성된 모든 암호 (root 포함)를 변경합니다.
이러한 암호 해싱 알고리즘을 지원하기 위해 알맞은 옵션이 libuser, pam, shadow-utils에 추가되었습니다. authconfig 명령은 필요한 옵션을 자동으로 생성하므로, 이를 수동으로 수정할 필요가 없습니다:
-
현재 crypt_style 옵션의 새로운 값과 hash_rounds_min 및 hash_rounds_max 명령의 새로운 옵션은
/etc/libuser.conf의 [defaults] 부분에서 지원됩니다. 보다 자세한 내용은/usr/share/doc/libuser-에서 참조하시기 바랍니다.[libuser version]/README.sha -
현재 새로운 옵션 sha256, sha512, rounds는
pam_unixPAM 모듈에 의해 지원됩니다. 보다 자세한 내용은/usr/share/doc/pam-에서 참조하시기 바랍니다.[pam version]/txts/README.pam_unix -
현재 다음과 같은
/etc/login.defs에서의 새 옵션은 shadow-utils에 의해 지원됩니다:-
ENCRYPT_METHOD — 사용할 암호화 방식을 지정합니다. 사용 가능한 값은 DES, MD5, SHA256, SHA512 입니다. 이러한 옵션이 지정될 경우, MD5_CRYPT_ENAB 명령은 무시됩니다.
-
SHA_CRYPT_MIN_ROUNDS 및 SHA_CRYPT_MAX_ROUNDS — ENCRYPT_METHOD가 SHA256 또는 SHA512로 설정되어 있을 경우 사용할 해싱 라운드 수를 지정합니다. 아무 옵션도 설정되어 있지 않을 경우, glibc에 의해 기본값이 지정됩니다. 하나의 옵션만이 설정되어 있을 경우 암호화 방식이 라운드 수를 지정하게 됩니다.
두 옵션 모두가 사용될 경우, 임의로 선택된 라운드 수에서 포괄적인 간격을 지정합니다. 선택된 라운드 수는 포괄적인 간격 [1000, 999999999]으로 제한되어 있습니다.
-
출처 : http://us.aminet.net/pub/centos4.64/NOTES/RELEASE-NOTES-U7-ko.html
댓글