将密码安全地存储在 MySQL 中，但仍可通过 PAM 访问

Question

我们有一个 PHP 应用程序，仅使用 MD5 函数（无盐）来存储密码。
我们将 OpenSSH 设置为使用 pam-mysql 对来自同一数据库的用户进行身份验证。

我们想改用散列密码，我们正在考虑： 1. 自己做（类似于 md5($salt."$".$password) 或 hash(" sha256", $salt."$".$password))，或 2. 使用 php 的 crypt 函数（如果可用，则使用操作系统 crypt(3)）。
问题是我还没有发现 pam-mysql 是否支持 crypt(3) 或任何替代的 pam 模块。

crpyt(3) 使用用户提供的算法和盐：crypt('password', '$5$saltstring$') for sha256 返回$5$saltstring$OH4IDuTlsuTYPdED1gsuiRMyTAwNlRWyA6Xr3I4/dQ5。任何使用 crypt(3) 库的语言都会看到该字符串，并知道将 sha256 与给定哈希一起使用并期望给定结果。

第一种方法是否足够，或者是否有一些 PAM 模块支持 MySQL 和 crypt(3)？

Answer 1

使用 sha512，无论是 mysql 实现还是 php 实现。如果您使用 md5，则您正在使用已知的不安全函数，这会让您承担责任。

Answer 2

您还可以使用 3DES 加密来增强安全性。