如何确定Chef"user"资源的密码属性值？

关键是看到密码属性值直接写入/ etc/shadow文件.然后是阅读阴影和地穴的手册页,最后理解(希望)事物如何融合在一起的问题.如果您对某些背景感兴趣,请参阅下面的血腥细节.

如果您对密码的MD5哈希没问题,请使用openssl命令生成加密字符串.我正在使用的版本似乎不支持SHA算法.使用openssl passwd --help查看可用的选项.

openssl passwd -1 -salt "yoursaltphrase"
Password: <enter the password>
$1$yoursalt$fIque2U6AZ.YRAqOu5Eyo/

现在在配方的密码属性中使用该字符串:

user 'mytestuser' do
  comment "Test User"
  home "/home/mytestuser"
  shell "/bin/bash"
  supports :manage_home => true

  password '$1$yoursalt$fIque2U6AZ.YRAqOu5Eyo/'

  action :create
end

至于我,我最终手动创建测试用户,然后从/ etc/shadow复制其加密字符串作为配方的密码属性值.

从/ etc/shadow,mytestuser:后面的第二个字段是加密密码.

   mytestuser:THIS_IS_THE_FIELD_YOU_WANT:16063:0:99999:7:::

见男人的影子和男人的地穴.

血腥细节

从手册页和各种用户论坛拼凑起来,这就是我所学到的.请注意,这里加密一词实际上意味着哈希,因为我不相信密码实际上可以被解密.

在passwd文件的命令加密用户的明文密码,并将其写入/ etc/shadow中.

/ etc/shadow条目包含各种格式之一的用户名和加密密码."crypt"的手册页描述了这些格式,请参阅其NOTES部分.

加密值的格式为:

$id$salt$encrypted

可以把它想象成两部分:盐和实际的加密密码.

盐部分由两部分组成:

一个可选的id前缀,用于标识所使用的加密算法,并以"$"作为前缀和后缀,例如"$ id $".

salt值,最多16个字符,以"$"结尾,例如"saltvalue $".该值用于计算加密密码.它是一个随机字符串,每次生成密码时都不同.

id可以是以下之一,表示使用的加密算法:

blank = DES  (the default when no $id$ prefix is found)
1     = MD5
2a    = Blowfish
5     = SHA-256
6     = SHA-512

加密密码长度根据加密算法确定:

DES      =  8 characters
MD5      = 22 characters
SHA-256  = 43 characters
SHA-512  = 86 characters
Blowfish = ???

您可以使用openssl passwd命令生成各种密码哈希值.它支持以下选项:

-crypt             DES-based standard Unix password algorithm (default)
-1                 MD5-based password algorithm
-apr1              MD5-based password algorithm, Apache variant
-salt string       use provided salt