openssl系列文章:http://www.cnblogs.com/f-ck-need-u/p/7048359.html
该伪命令用于生成加密的密码。
[root@xuexi tmp]# whatis passwd
passwd () - update user's authentication tokens
passwd () - password file
passwd [sslpasswd] (1ssl) - compute password hashes
直接man passwd会得到修改用户密码的passwd命令帮助,而不是openssl passwd的帮助,所以man sslpasswd。
[root@xuexi tmp]# man sslpasswd NAME
passwd - compute password hashes SYNOPSIS
openssl passwd [-crypt] [-] [-apr1] [-salt string] [-in file] [-stdin] [-quiet] {password}
使用openssl passwd支持3种加密算法方式:不指定算法时,默认使用-crypt。
在命令行中直接输入要加密的密码password或者使用-salt时,将不需要交互确认,否则会交互确认密码。
[root@xuexi ~]# openssl passwd ; openssl passwd
R7J9OiPEN5xUw
C1lvfmeMltEWw
由上面的测试可知,使用默认的-crypt加密的密码是随机的。但是加入盐后,如果密码一样,盐一样,那么加密结果一样。
[root@xuexi ~]# openssl passwd -salt 'xxx' ; openssl passwd -salt 'xxx'
xxkVQ7YXT9yoE
xxkVQ7YXT9yoE
同时也看到了-crypt加密算法只取盐的前两位。
如果盐的前两位和密码任意一个不一样,加密结果都不一样。
[root@xuexi ~]# openssl passwd -salt 'xyx' ;openssl passwd -salt 'xxx'
xyJkVhXGAZ8tM
xxkVQ7YXT9yoE
注意,默认的-crypt只取盐的前两位字符,所以只要盐的前两位一样,即使第三位不同,结果也是一样的。
[root@xuexi ~]# openssl passwd -salt 'xyz' ; openssl passwd -salt 'xyy'
xyJkVhXGAZ8tM
xyJkVhXGAZ8tM
测试下MD5格式的加密算法。
[root@xuexi ~]# openssl passwd - ; openssl passwd -
$$CJ1eA7bT$4VAJoS3hU/gRTrSQ8r8UQ.
$$l1uIsNoH$A35cHQ6oGm29IJOas5v7w0
可见,结果比-crypt的算法更长了,且不加盐时,密码生成是随机的。
[root@xuexi ~]# openssl passwd - -salt 'abcdefg' ; openssl passwd - -salt 'abcdefg'
$$abcdefg$a3UbImglR4PCA3x7OvwMX.
$$abcdefg$a3UbImglR4PCA3x7OvwMX.
可以看出,加了盐虽然复杂度增加了,但是也受到了"盐相同,密码相同,则加密结果相同"的限制。另外,盐的长度也不再限于2位了。
再为apache或nginx生成访问网页时身份验证的密码,即basic authentication验证方式的密码。
[root@xuexi ~]# openssl passwd -apr1 ; openssl passwd -apr1
$apr1$ydbBroeI$/9YsZR.tJI/GS0YswkQLJ.
$apr1$ncebpB6C$4fnRmlrnL2LPKxrZxCZzJ1
[root@xuexi ~]# openssl passwd -apr1 -salt 'abcdefg' ; openssl passwd -apr1 -salt 'abcdefg'
$apr1$abcdefg$PCGBZd8XFTLOgZzLLU3K00
$apr1$abcdefg$PCGBZd8XFTLOgZzLLU3K00
同样,加了盐就受到"盐相同,密码相同则加密结果相同"的限制。
关于openssl passwd文件,它生成的密码可以直接复制到/etc/shadow文件中,但openssl passwd因为不支持sha512,所以密码强度不够。如果要生成sha512的密码,可以使用grub-crypt生成,它是一个python脚本,只不过很不幸CentOS 7只有grub2,grub-crypt命令已经没有了。
[root@xuexi ~]# grub-crypt --sha-
Password:
Retype password:
$$2RCBJT7rELpfX4.Q$iKM5vNShNqUcCiez.JDBgbRkj007eXVVs790UwiOw1PMvB/s/vE7DhyDe8YJ6T8aEtP0Vev5kMReL/nILwLZX/
可以使用语句简单地代替grub-crypt。
python -c 'import crypt,getpass;pw=getpass.getpass();print(crypt.crypt(pw) if (pw==getpass.getpass("Confirm: ")) else exit())'grub-crypt和上述python语句都是交互式的。如果要非交互式,稍稍修改下python语句:
python -c 'import crypt,getpass;pw="123456";print(crypt.crypt(pw))'
</div