Pure-ftpd with MySQL - Crypt() 没有使用散列密码登录

Question

我使用 pure-ftpd 和 mysql 来验证用户。

这是我的 mysql.conf

MYSQLServer     localhost
MYSQLPort       3306
MYSQLSocket     /var/run/mysqld/mysqld.sock
MYSQLUser       user
MYSQLPassword   pwd
MYSQLDatabase   my_db
MYSQLCrypt      crypt()
MYSQLGetPW      SELECT password FROM ftp_users WHERE login="\L"
MYSQLGetUID     SELECT u_id FROM ftp_users WHERE login="\L"
MYSQLGetGID     SELECT g_id FROM ftp_users WHERE login="\L"
MYSQLGetDir     SELECT dir FROM ftp_users WHERE login="\L"
MySQLGetQTAFS   SELECT quota_files FROM ftp_users WHERE login="\L"
MySQLGetQTASZ  SELECT quota_size FROM ftp_users WHERE login="\L"
MySQLGetRatioUL SELECT ul_ratio FROM ftp_users WHERE login="\L"
MySQLGetRatioDL SELECT dl_ratio FROM ftp_users WHERE login="\L"
MySQLGetBandwidthUL SELECT ul_bandwidth FROM ftp_users WHERE login="\L"
MySQLGetBandwidthDL SELECT dl_bandwidth FROM ftp_users WHERE login="\L"

然后我尝试重新启动 pure-ftpd-mysql 和 pure-ftpd

我的表有一个字段，密码为

password    varchar(255)

当我使用明文密码插入用户时，我可以使用登录名和密码正常登录。当我插入带有“lol”的哈希值（例如 SHA512 或 BCrypt 哈希值）时。它不允许我使用密码“lol”登录。

BCrypt $2a$06$JrvxpMAvi6MnRSIvZQMMxOffIDLtEP7lrKNe0k0CTsK51v4zujfpS
SHA512 3DD28C5A23F780659D83DD99981E2DCB82BD4C4BDC8D97A7DA50AE84C7A7229A6DC0AE8AE4748640A4CC07CCC2D55DBDC023A99B3EF72BC6CE49E30B84253DAE

但是，如果我粘贴哈希值，它会成功登录，因为我假设它将它作为纯文本值。

我尝试将 mysql.conf 更改为

MYSQLCrypt      crypt

但这完全打破了它。有很多网站都说要使用 crypt，但我的配置文件中的注释将 crypt() 列为选项之一。

我读过很多帖子和论坛，但我发现的最接近的是这个，它根本不起作用。

https://serverfault.com/a/630806/302696

这是 pure-ftpd 的开头

Starting ftp server: Running: /usr/sbin/pure-ftpd-mysql -l mysql:/etc/pure-ftpd/db/mysql.conf -l puredb:/etc/pure-ftpd/pureftpd.pdb -l puredb:/etc/pure-ftpd/pureftpd.pdb -E -F /etc/pure-ftpd/fortunes.txt -j -H -J ALL:!aNULL:!SSLv3 -u 1000 -8 UTF-8 -A -O clf:/var/log/pure-ftpd/transfer.log -B

所以基本上它没有使用 crypt 或者我没有正确使用它。我虽然它可以用 mysql 本地处理 SHA512，但事实并非如此。我能想到的其他事情是我需要带有配置的代码，但我不明白为什么它需要任何东西。

Answer 1

--- 开始 tl；博士 ---

\n\n

假设您的 Pure-FTPd 正在运行 glibc 2.7+ 的 Linux 主机上：

\n\n

\n
• 使用MySQLCrypt crypt\xe2\x80\x93而不带括号
\n

• 在运行 Pure-FTPd 的同一系统上运行此 Python 3 单行代码：

  \n\n

  python3 -c \'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))\'\n

\n

• 输入所需的密码。

\n
• 将加密密码（以 开头$6$）复制并粘贴到数据库中。
\n

\n\n

--- 结束 tl；博士 ---

\n\n

非明文背后的想法MySQLCrypt是完全禁用明文密码。括号中MySQLCrypt crypt()仍然接受哈希作为明文密码表明 Pure-FTPd 将该字符串crypt()视为未知的加密方法并完全忽略该指令，而是使用明文的默认加密方法。未加括号的MySQLCrypt crypt\xe2\x80\x9cwriting\xe2\x80\x9d 明文登录实际上是朝着正确方向迈出的一步：它禁用明文登录并开始将数据库中的密码仅视为加密的。

\n\n

现在的问题是如何正确地将密码哈希为可接受的形式。根据src/mysql.cPure-FTPd 的说法，MySQLCrypt crypt会导致它使用该crypt()函数，其可接受的形式取决于实现。例如，如果您在装有 glibc 2.7 或更高版本的 Linux 计算机上运行 Pure-FTPd，则可以接受 4 种形式：

\n\n

\n
• SHA-512（以 开头$6$）
\n
• SHA-256（以 开头$5$）
\n
• MD5（以 开头$1$）
\n
• 传统 DES（以字母数字字母开头）；不过应该避免
\n

\n\n

有几种调用系统的方法crypt()；我首选的方法是Python 3 的内置crypt模块。这个简短的脚本将满足我们的要求：

\n\n

import sys\nfrom crypt import crypt, METHOD_SHA512\nfrom getpass import getpass\n\nprint(crypt(getpass("Password: "), METHOD_SHA512))\n

\n\n

或者，如果您更喜欢可三次点击、易于复制和粘贴的单行代码：

\n\n

python3 -c \'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))\'\n

\n\n

示例运行：

\n\n

root@ip-172-16-16-117:~# python3 -c \'import sys, crypt, getpass; print(crypt.crypt(getpass.getpass("Password: "), crypt.METHOD_SHA512))\'\nPassword: \n$6$vTbR62VMHKQNqnEk$TmfeMj/Q6G62RM.hi7liD0IrEvtUp2.jgXbfVRPone/sFTeOwJKftTrrW9j8Hd8.kJsF36OKwP4xHrnURGZTo/\n

\n\n

为了使用相同的crypt()实现，必须在运行 Pure-FTPd 的同一主机上运行此命令。

\n\n

以开头的长行$6$是加密密码。前缀$6$本身将密码标记为使用 SHA-512 进行哈希处理。如果系统crypt()不支持SHA-512，则不会启动输出$6$；在这种情况下，应该使用另一种算法。例如，在 macOS 上，可能的输出是$6UCLzI8sPv16. 请注意，它太短了，并且后面也缺少美元符号$6：这是因为 macOS 实现crypt()不支持 SHA-512。

\n