使用 Go 生成适合 `/etc/shadow` 的哈希密码字符串

本篇文章向大家介绍《使用 Go 生成适合 `/etc/shadow` 的哈希密码字符串》，主要包括，具有一定的参考价值，需要的朋友可以参考一下。

我面前的任务是获取用户提供的纯文本字符串（即密码），并将其转换为可以作为散列密码字符串插入 /etc/shadow 中的内容，以便用户可以然后使用最初提供的密码登录以生成哈希值。这是我们在系统管理员世界中一遍又一遍地（重新）解决的非常常见的事情。有无数的命令行实用程序可以执行此操作。

但是，在这种特定情况下，我的限制是我需要一个可以在多个上下文中使用的纯 Go 解决方案（cli 工具、api 等）。我的第一次尝试只是使用 bcrypt 库。乍一看，它似乎具备我所需要的属性。它是纯 Go，使用起来非常简单（额外的好处），并且它生成的输出看起来和我想要的差不多……但它不起作用。使用此库产生的输出无法（例如）作为用户密码粘贴到 /etc/shadow 中，然后用户可以使用原始密码成功登录。

我只是想知道是否有人在日常生活中遇到过这个需求并解决了它，谁愿意分享他们的经验和（喘息）代码？我主要想知道是否有人会推荐一个针对这个近似用例的库？ （我的 Google fu 可能只有“rona”）。

解决方案

我在这里分享这个是因为我尝试的第一件事不起作用，而且既然我公开询问，我觉得公开分享解决方案是公平的。这是针对我的情况的解决方案。我并不是宣称它是解决方案，或者没有更好解决方案（请发布这些解决方案！）。对于我的具体情况，这是我想到的... [编辑：请注意，用户 marc 建议在我撰写本文时在上面的评论中查看该库。谢谢你，马克，我的福显然感觉好多了]

如上所述，我的第一次尝试只是使用 bcrypt 库，但没有成功。经过仔细检查，我发现 bcrypt 仅以一种格式输出（即使用一种散列算法），这显然与 linux 中的密码系统不兼容（至少不兼容我的特定发行版）。因此，虽然输出通常看起来应该是这样，但细节是：

bcrypt 给了我类似的东西：$2$10$sdfuilyhjd.hedhjsdfgjhfdgjh.hewjhndcjv

在第一个字段（$2）中，我的linux发行版显然不支持类型$2（？）（广泛支持的类型是$1、$5、$6（即md5、sha256和sha512）） 。我似乎没有办法在 bcrypt go 库中指定不同的算法。因此，我寻找其他方法/解决方案。我得到的是：

package main

import (
    "fmt"
    "math/rand"
    "os"
    "time"
    "github.com/tredoe/osutil/user/crypt/sha512_crypt"
)

func encryptPassword(userPassword string) string {
    // Generate a random string for use in the salt
    const charset = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
    seededRand := rand.New(rand.NewSource(time.Now().UnixNano()))
    s := make([]byte, 8)
    for i := range s {
        s[i] = charset[seededRand.Intn(len(charset))]
    }
    salt := []byte(fmt.Sprintf("$6$%s", s))
    // use salt to hash user-supplied password
    c := sha512_crypt.New()
    hash, err := c.Generate([]byte(userPassword), salt)
    if err != nil {
        fmt.Printf("error hashing user's supplied password: %s\n", err)
        os.Exit(1)
    }
    return string(hash)
}

该函数返回如下字符串：

$6$tzeuypz3$3mj70woprjj5ytffzc8gufyk7eymqvar4ldg5c0wzwbamupraan7bac6eabl9eiyi2gzr6pqiqqa.y6kzlqh6

您可以直接将其粘贴到 /etc/shadow 中或作为散列密码提供给安装程序（kickstart、cloud-init 等）并继续您的业务。就我而言，我正在为应用程序编写一个库函数，我可以从命令行实用程序或 api 服务调用该函数，而 api 服务又将该哈希字符串作为参数提供给 cloud-init。

感谢其他将来可能会发现此内容的人。

以上就是《使用 Go 生成适合 `/etc/shadow` 的哈希密码字符串》的详细内容，更多关于的资料请关注golang学习网公众号！