Lösung 1:
Dies liegt daran, dass DES-basierte crypt (AKA 'descrypt') Passwörter bei 8 Bytes abschneidet und nur die ersten 8 zum Zweck der Passwortverifizierung überprüft.
Das ist die Antwort auf Ihre direkte Frage, aber hier sind einige allgemeine Ratschläge, die sich aus Ihrem Kontext ergeben:
-
Zum Glück, nach meiner Lektüre,
MD5in/etc/login.defsist eigentlich md5crypt ($1$), das, obwohl es etwas veraltet und von seinem Autor als veraltet erklärt wurde, dem DES-basierten crypt immer noch weit überlegen ist (und definitiv viel besser als rohes, ungesalzenes Haschisch wie einfaches MD5! Die meisten ungesalzenen Hashes können auf Commodity-GPUs mit Raten von Milliarden geknackt werden pro Sekunde) -
Es sieht aus wie
SHA256(eigentlich sha256crypt) undSHA512(eigentlich sha512crypt) sind auch dabei. Ich würde stattdessen eine davon auswählen. -
Wenn Sie Ihr Passwort auf
passwordsetzen oder etwas unter jedem Schema, können Sie visuell überprüfen, ob meine Schlussfolgerung, dass es sich um die -crypt-Varianten handelt, richtig ist oder nicht (Beispiele hier stammen aus den Hashcat-Beispiel-Hashes, alle 'hashcat', einige zur besseren Lesbarkeit umgebrochen):
Nicht empfohlen - ungesalzene oder veraltete Hash-Typen, viel zu "schnell" (Cracking-Raten) für die Passwortspeicherung:
MD5 - 8743b52063cd84097a65d1633f5c74f5
SHA256 - 127e6fbfe24a750e72930c220a8e138275656b8e5d8f48a98c3c92df2caba935
SHA512 - 82a9dda829eb7f8ffe9fbe49e45d47d2dad9664fbb7adf72492e3c81ebd3e2 \
9134d9bc12212bf83c6840f10e8246b9db54a4859b7ccd0123d86e5872c1e5082f
descrypt - 48c/R8JAv757A
OK - viel besser als ungesalzen, keine Trunkierung, aber auf moderner Hardware nicht mehr ausreichend resistent gegen Brute Force:
md5crypt - $1$28772684$iEwNOgGugqO9.bIz5sk8k/
Besser - relativ moderne Hashes mit großen Salzen und Arbeitsfaktoren:
sha256crypt - $5$rounds=5000$GX7BopJZJxPc/KEK$le16UF8I2Anb.rOrn22AUPWvzUETDGefUmAV8AZkGcD
sha512crypt - $6$52450745$k5ka2p8bFuSmoVT1tzOyyuaREkkKBcCNqoDKzYiJL9RaE8yMnPgh2XzzF0NDrUhgrcLwg78xs1w5pJiypEdFX/
Von diesen schneidet nur das Entschlüsseln bei 8 ab. Die letzten beiden sind die beste Wahl.
(Nebenbemerkung:Die Nur-Ziffern-Salts in den obigen md5crypt- und sha512crypt-Beispielen sind nur Nebeneffekte davon, wie Hashcat Beispiel-Hashes erstellt; echte, gesunde Salts werden normalerweise aus einem viel größeren Schlüsselraum gezogen).
Beachten Sie auch, dass ich nur die Hash-Typen aufliste, die von /etc/login.defs auf dieser Plattform unterstützt werden. Für den allgemeinen Gebrauch wurden sogar sha256crypt und sha512crypt abgelöst – zunächst durch bcrypt und später dann durch wirklich gegen parallele Angriffe resistente Hashes wie scrypt und die Argon2-Familie. (Beachten Sie jedoch, dass bcrypt für interaktive Anmeldungen, die in weniger als einer Sekunde abgeschlossen sein sollten, tatsächlich widerstandsfähiger gegen Angriffe ist als letzteres)
Lösung 2:
Ich habe dies in /etc/login.defs geändert :
PASS_MAX_LEN 8
Problem behoben.
Wichtige Ergänzungen:
Nachdem ich die obigen Parameter geändert habe, kann ich zwar ein Passwort mit mehr als 8 Ziffern festlegen, es ist jedoch immer noch ungültig, da das echte Passwort nur aus den ersten acht Ziffern besteht. Ich weiß nicht, ob das mein Problem ist.
Meine letzte Lösung besteht darin,
festzulegen# ENCRYPT_METHOD DES
zu
ENCRYPT_METHOD MD5
in /etc/login.defs .
Jetzt kann ich endlich ein Root-Passwort setzen, das wirklich größer als acht ist.