Wij zijn nu bezig (willen nog gaan beginnen) om ons eigen php-script te gaan schrijven om op onze server in te loggen. Het is heel raar, maar als ik in het shadow bestand kijk, dan weet ik niet wat voor een encryptie hier wordt gebruikt, want er is helemaal geen enige logica in te vinden.

Waarom inloggen op onze server?
Wij willen onze eerste stap zetten naar ons eigen klanten beheer systeem. Ook moet de klant de mogelijkheid gaan krijgen om hierin zijn/haar e-mail adressen te wijzigen, subdomeinen kan toevoegen etc. etc.
Ook moet de klant de mogelijkheid kunnen krijgen om zijn/haar statistieken te bekijken in het klanten beheer systeem.

OS.
Red Hat 9.0

Ik wil niet dat helemaal uitgelegd wordt hoe ik dit helemaal moet schrijven, maar alleen hoe het mogelijk is om ons eigen script te schrijven waarin de klant dus met hetzelfde password als op de server zijn/haar gegevens van zijn/haar account kan wijzigen.

md5() (http://nl2.php.net/md5) misschien?
(32 tekens?)

Ik zelf zou beginnen met het schrijven van een daemon in PHP / C welke commando's direct op de server kan uitvoeren. Je moet bij deze commando's vooral denken aan het valideren van de gegeven input en het correct verwerken hiervan. Als dit is gedaan kun je de gewenste wijziging doorvoeren.

Verder is je /etc/passwd meestal geencrypt dmv crypt. Maar dit kan per systeem verschillend zijn.

Origineel geplaatst door Johant
Het is heel raar, maar als ik in het shadow bestand kijk, dan weet ik niet wat voor een encryptie hier wordt gebruikt, want er is helemaal geen enige logica in te vinden.

..//..


OS.
Red Hat 9.0

..//..



R-H 9 encrypt de passwd's met md5 in het shadow bestand

MD5 zaten wij ook al aan te denken, maar met hash Calc (een programma wat oa. MD5 passwords weergeeft; Je voert dus je pw in en laat de encryptie daarvan zien) was er geen overeenkomst te vinden met hetzelfde password op de server en met het programma hash calc.

Deimos; bedankt. Ik zal kijken om een leuk begin te maken daarvoor. Als eenmaal de eerste stap is gezet denk ik dat het wel redelijk snel zal gaan.

uhmm


een programma wat oa. MD5 passwords weergeeft; Je voert dus je pw in en laat de encryptie daarvan zien was er geen overeenkomst te vinden met hetzelfde password op de server en met het programma hash calc.

logisch?



dev01:~# openssl passwd -1 wachtwoord wachtwoord wachtwoord
$1$hotfJfpw$1ZDGuxOTTL.ylYkQJUw/q0
$1$kYfVZba2$3rVT1TP0gft59snhQe/0l.
$1$qxhL1khF$A270.29eAbGR93xiVnql21


Dat is nou juist de gehele bedoeling van wachtwoord beveiliging (encryptie) he :)

Met MD5 lijkt het mij logisch dat als bijvoorbeeld wachtwoord
"#000000" naar MD5 wordt geencrypt als "$1$qxhL1khF$A270.29eAbGR93xiVnql21", dan zou het toch elke keer (naar mijn idee) het wachtwoord "#000000" naar "$1$qxhL1khF$A270.29eAbGR93xiVnql21" moeten worden geencrypt. Maar goed. Ik ga mijzelf is even dieper in de theorie van MD5 verdiepen :S

<?

$wachtwoord = 'wachtwoord';

echo md5($wachtwoord);
echo md5($wachtwoord);
echo md5($wachtwoord);

?>

output:

701f33b8d1366cde9cb3822256a62c01
701f33b8d1366cde9cb3822256a62c01
701f33b8d1366cde9cb3822256a62c01

md5 moet inderdaad altijd zelfde hash geven of je nu in php, asp, perl of javascript gebruikt.

En dat zie ik juist niet in het shadow bestand. Want er is helemaal geen overeenkomst in dezelfde wachtwoorden te vinden

openssl dgst -md5 123
MD5(123)= 896ae5e0967b5a919319b9c4062b11d0
openssl dgst -md5 123
MD5(123)= 896ae5e0967b5a919319b9c4062b11d0


(geen md5 wachtwoord hash) (die beginen met $1$)



openssl passwd -1 123 123 123
$1$QYfQC8QT$DLg2tu8tkKdkrmH140DrM/
$1$QJvkZx0z$TF2SO3KvrW/wQ6UzS6W/60
$1$zesnASDh$yS61saYGF/xlFYKLqGTYa/

openssl maakt een verschil tussen file's (1e) en een specifieke hash voor wachtwoorden (2e).

Had ergens een doc met alles uitgelegt maar kan hem niet meer vinden..
Weet het nu zelf ook niet meer hoe het precies in elkaar zat:D

Maar het lijkt me opzich wel logisch om je wachtwoorden altijd anders te hebben (anders is het kraken van een wachtwoord wel erg makkelijk)

Ja bedankt. Eindelijk iemand die wel met nuttige info komt :)