最近在看salt stack,需要批量修改用户的密码,在脚本中显示你的明文密码是不安全的,所以想使用shadow文件中的加密后密码放在脚本里 就安全很多.


当然你也可以修改一台机器的密码然后把shadow里的密码部分摘出来,此方法不再讨论之列


不是每个发行版都用相同的加密算法,先查查:

[root@localhost ~]#  authconfig --test | grep hashing
 password hashing algorithm is sha512
[root@localhost ~]#


我是centos6.2,默认加密算法是sha512


在有些系统上这个命令不能执行,那还有别的办法:

cat 出来你的shadow文件,应该是这样一个结构


user:$6$abcdef…


以':'分割的各个列,1列为用户名,2列为密码……其他自己查资料去

密码部分的前3位是加密算法,后面是salt

$1$ md5

$$

$6$ sha512,

$0$ old des

$2$ blowfish

等等具体查看:

http://en.wikipedia.org/wiki/Passwd


下一步就是如何生成这个密码了

如果你是centos或者rh就好办了,软件库中已经有这个工具了mkpasswd(是在expect包中)

yum -y install expect


ok 我装了 但是不能生成sha512的密码 只能随机生成指定的密码,反正是不能用了  怒啊


好吧我们自己生成吧:)

可以使用python 或者perl

先生成salt,做饭总要先找好调料吧

openssl rand -base64 16 | tr -d '+=' | head -c 8

结果:

L0Uymjwa


下一步生成密码,先说python

python -c "import crypt, getpass, pwd; print crypt.crypt('要设置的密码', '\$6\$上面生成的salt\$')"


我要加密的密码是123456

python -c "import crypt, getpass, pwd; print crypt.crypt('123456', '\$6\$L0Uymjwa\$')"

结果:

$6$L0Uymjwa$PTTwfi3DY7/tJF9oz.NlOShT.F9mfiIJuSknWNvyItMaN5Ge/91jwut2gYMthi9tpLxf/FcvC/v9Dp6jnCmpw1

可以了,你可以试试你的shadow里的密码是不是和这个一样i_f01.gif


分2步还嫌麻烦,味道每次都一样不好 擦,合起来

python -c "import crypt, getpass, pwd; print crypt.crypt('123456', '\$6\$`openssl rand -base64 16 | tr -d '+=' | head -c 8`\$')"


好了吧 满意了吧


perl:

perl -e 'print crypt("password","\$6\$saltsalt\$") . "\n"'