Коллеги, всем доброй пятницы.
переношу почтовик, postfix+dovecot+mysql с одного сервера (ubuntu 12) на другой (ubuntu 16)...и вот образовалась проблема:
в базе (MySQL) пароли шифрованные, и после переноса не читаются.
проовал переносить БД копированием и ч/з mysqldump.прошу совета, что можно сделать?
> Коллеги, всем доброй пятницы.
> переношу почтовик, postfix+dovecot+mysql с одного сервера (ubuntu 12) на другой (ubuntu
> 16)...и вот образовалась проблема:
> в базе (MySQL) пароли шифрованные, и после переноса не читаются.
> проовал переносить БД копированием и ч/з mysqldump.
> прошу совета, что можно сделать?а может проблема не в mysql, postfix авторизуется через smtpd_sasl_type = dovecot ?
а dovecot версия новее, может в эту сторону покопать?
> в базе (MySQL) пароли шифрованные, и после переноса не читаются.
> проовал переносить БД копированием и ч/з mysqldump.
> прошу совета, что можно сделать?Проверить способ аутентификации и тип (!) шифрования на новой системы на предмет её соответствия старым настройкам.
> Коллеги, всем доброй пятницы.
> переношу почтовик, postfix+dovecot+mysql с одного сервера (ubuntu 12) на другой (ubuntu
> 16)...и вот образовалась проблема:
> в базе (MySQL) пароли шифрованные, и после переноса не читаются.
> проовал переносить БД копированием и ч/з mysqldump.
> прошу совета, что можно сделать?а логи то, логи то где ...?
хотя на крайний случай пойдет и кофейная гуща
> прошу совета, что можно сделать?если для шифрования паролей использовался crypt, то могут быть проблемы. Ибо его реализация завязана на libc. На днях столкнулся с подобной проблемой при настройке haproxy. Хеш сгенерированный на локальной ubuntu 16.04 не работал на сервере с haproxy (centos 6). Пришлось перегенерировать на той же машине, где и работал haproxy
А чтобы перестать гадать, неплохо бы увидеть выводы postconf -n и dovecot -n
да, конечно вы правы, довекот аутентификацией занимается и лог довекота, который не может рахешить пароль.вот имеющиеся пакеты:
dovecot-common 1:2.1.7-1ubuntu2 all
dovecot-core 1:2.2.24-1 amd64 secure
dovecot-imapd 1:2.2.24-1 amd64 secure
dovecot-mysql 1:2.2.24-1 amd64 secure
dovecot-pop3d 1:2.2.24-1 amd64
вот пакеты нового сервера
dovecot-core 1:2.2.22-1ubuntu2.4 amd64
dovecot-imapd 1:2.2.22-1ubuntu2.4 amd64
dovecot-lmtpd 1:2.2.22-1ubuntu2.4 amd64
dovecot-mysql 1:2.2.22-1ubuntu2.4dovecot-sql.conf на сущ.сервере
driver = mysql
connect = host=localhost dbname=postfix user=postfix password=postfix
default_pass_scheme = MD5-CRYPT
password_query = SELECT username as user, password, 8 as uid, 8 as gid FROM mailbox WHERE username = '%u'
user_query = SELECT '/var/mail/%u' as home, 'mbox:~/mail:INBOX=/var/mail/%n' as mail FROM mailbox WHERE username = '%u' AND active = '1'новый сервак:
driver = mysql
connect = host=127.0.0.1 dbname=postfix user=postfix password=postfix
default_pass_scheme = MD5-CRYPT
password_query = SELECT username as user, password, 8 as uid, 8 as gid FROM mailbox WHERE username = '%u'
user_query = SELECT '/var/mail/%u' as home, 'mbox:~/mail:INBOX=/var/mail/%n' as mail FROM mailbox WHERE username = '%u' AND active = '1'
да, я то же уже подумал, что проблема в библиотеках.
так это что получается тогда, у нас практика такая, что мы пароли пользователей принципиально не храним, ящиков ~100, всем выпускать новые пароли?...будет не очень хорошо.а можно как то вытащить пароли из бд в тестовый формат?
п.с. а вообще прикольно, делаешь бэкапы, а потом не можешь иё восстановить потому что библиотека обновилась....
голимая ситуация какая тоDec 18 11:43:33 auth-worker(1817): Debug: sql(andrey@e.ru,192.168.10.110): MD5-CRYPT() != '$1$00436dc3$UQoR22mlFiHojeie6R2p50'
select username as user, password, 8 as uid, 8 as gid FROM mailbox WHERE username = 'andrey@a.ru';
$1$00436dc3$UQoR22mlFiHojeie6R2p50
хэши:
Цитата:запрос: '$1$00436dc3$UQoR22mlFiHojeie6R2p50'
База: $1$00436dc3$UQoR22mlFiHojeie6R2p50
отличается только наличием ' '
хотя нет, вру.....вот что он делаетЦитата:
Dec 18 14:06:12 auth-worker(2301): Debug: sql(a@e.ru,192.168.10.110): MD5-CRYPT(mini-kuper123) != '$1$00436dc3$UQoR22mlFiHojeie6R2p50'но тут дело такое, 2 раза генерю новый хешь и получаю разное значение
Цитата:root@mail:/home/snoop# doveadm pw -s MD5-crypt
Enter new password:
Retype new password:
{MD5-CRYPT}$1$NpF1xOrY$LRNxcMUJaOcsMQoCBx4F21
root@mail:/home/snoop#
root@mail:/home/snoop#
root@mail:/home/snoop#
root@mail:/home/snoop#
root@mail:/home/snoop# doveadm pw -s MD5-crypt
Enter new password:
Retype new password:
{MD5-CRYPT}$1$fNIePVfJ$zN/SPJeDcd0mPklk80rPc/
> но тут дело такое, 2 раза генерю новый хешь и получаю разное значениевы ведь в курсе что такое хеш, да? Было бы странно получать одно и тоже значение
Хэширование — преобразование массива входных данных произвольной длины в (выходную) битовую строку фиксированной длины, выполняемое определённым алгоритмом.
В общем случае нет однозначного соответствия между исходными (входными) данными и хеш-кодом (выходными данными). Возвращаемые хеш-функцией значения (выходные данные) менее разнообразны, чем значения входного массива (входные данные).
>> нотут дело такое, 2 раза генерю новый хешь и получаю разное значениеА)
> вы ведь в курсе что такое хеш, да? Было бы странно получать одно и тоже значениеALex_hha - это революция в CS! :)
> Хэширование — преобразование массива входных данных произвольной длины в (выходную)
> битовую строку фиксированной длины, выполняемое определённым алгоритмом.
> В общем случае нет однозначного соответствия между исходными (входными) данными и хеш-кодом (выходными данными).Б)
> Возвращаемые хеш-функцией значения (выходные данные) менее разнообразны, чем значения входного массива (входные данные).А теперь посмотри на А и на Б. Нигде не жмёт?! :-)
> А теперь посмотри на А и на Б. Нигде не жмёт?! :-)нет. и?
>> А теперь посмотри на А и на Б. Нигде не жмёт?! :-)
> нет. и?Дык ... эта .. "Вон из профессии!" (С) 8-)
Ну - ну серьёзно не ффтыкаешь или это такой тонкий ....?
>> но тут дело такое, 2 раза генерю новый хешь и получаю разное значение
>вы ведь в курсе что такое хеш, да? Было бы странно получать одно и тоже значениеt7400:~$ for i in $(seq 5); do echo " ALex_hha - вон из профессии!" | sha256sum ; done
60ca9366cf7911e7e7a7d897dcc00603ca723fba6e8d01f1de0d8c26d454b875 -
60ca9366cf7911e7e7a7d897dcc00603ca723fba6e8d01f1de0d8c26d454b875 -
60ca9366cf7911e7e7a7d897dcc00603ca723fba6e8d01f1de0d8c26d454b875 -
60ca9366cf7911e7e7a7d897dcc00603ca723fba6e8d01f1de0d8c26d454b875 -
60ca9366cf7911e7e7a7d897dcc00603ca723fba6e8d01f1de0d8c26d454b875 -
t7400:~$ for i in $(seq 5); do echo " ALex_hha - вон из профессии!" | md5sum ; done
b376414389bfa2970b1c9765caf02c26 -
b376414389bfa2970b1c9765caf02c26 -
b376414389bfa2970b1c9765caf02c26 -
b376414389bfa2970b1c9765caf02c26 -
b376414389bfa2970b1c9765caf02c26 -
crypt от md5 отличаешь? но тебе по ходу все равно facepalm# grub-crypt --sha-512
Password:
Retype password:
$6$rxeyJd7QYeLHb3jy$1q7VWDgoKyrHPfyuDTZg4mqAbRELh5ctyIAGHh4H9Xcxp654m/YE5ifWB.0zi/8o/pGzl9ndFZleUiUtf4MD/1# grub-crypt --sha-512
Password:
Retype password:
$6$I4wAfhbsfKOk3F9E$4LPnYxpKK.MaJ/RmdxRwIu2WlpSdF9wpLt59yrrHPIRnYRkXH8cXaQZVVQ1/bMJHSqJB/Anfd2CriyDwDqgIk.и о чудо, они разные
# for i in $(seq 5); do echo "Иди учись дальше" | mkpasswd -m sha-512 -s;done
$6$gX.kZUWX$diyd/pRmFI.b1qfhVg2RrkCm/Qcr7LYRtjJknBhSVAqdzlgV1UkyoWi4Q4dZr2G/Ervb6tTs/YS0RYe5ZG9km1
$6$Tyr5C8SMIDu7$lqRXZnvN6Z.N.9Ol8ZHVp/NjoEhoADQUombo4ZZFD1PXAwjUeFTuPmBoz.zN3dAz2UN/cKGdzOOsOax/1B8/N.
$6$2YGp9lMGsOlts$VzZBhD58x0g81gxUvr7z.tc6.1M7S4G9kSTp8lEJ/aLHhK4OF447rp//RdvXFVIdJ5sGZXGhPDqU4cSotwUyX1
$6$kr.Q7BSJPVDa$J3FLYBLoLqt2beyikVyGzdMg4ndT0c1uz6s.FOVqIwahu/DSabOTma.dahXUzUSYwn21l2jXXZA.0bM2nJJ.W.
$6$M3eWHpqR$cNv4lIbnCfM1nlWpa/u.nwc.jdesd3PixMZjW8SKsCP0ej6/lidld6PGTnTnRK/buUfNTYZROqLU/A7zt5QgC0
...> # grub-crypt --sha-512
...
>
> # for i in $(seq 5); do echo "Иди учись дальше" |
> mkpasswd -m sha-512 -s;done...
># <<<< вспомнился анекдот - штирлиц и парашют))
> crypt от md5 отличаешь? но тебе по ходу все равно facepalmНу куда уж нам то :)
> $6$rxeyJd7QYeLHb3jy$1q7VWDgoKyrHPfyuDTZg4mqAbRELh5ctyIAGHh4H9Xcxp654m/YE5ifWB.0zi/8o/pGzl9ndFZleUiUtf4MD/1
> $6$I4wAfhbsfKOk3F9E$4LPnYxpKK.MaJ/RmdxRwIu2WlpSdF9wpLt59yrrHPIRnYRkXH8cXaQZVVQ1/bMJHSqJB/Anfd2CriyDwDqgIk.
> и о чудо, они разныеДык соль разная. Сделай одну и ту же и ...
for i in $(seq 5); do echo "Иди учись дальше"
> Дык соль разная. Сделай одну и ту же и ...Ну чисто для справки - должен ли я разжевать что есть хеш фукнция и зачем таки примешивают соль?!?!
А то вдруг ты настолько Ыгсперд? 8-о
>> Дык соль разная. Сделай одну и ту же и ...
> Ну чисто для справки - должен ли я разжевать что есть хеш
> фукнция и зачем таки примешивают соль?!?!
> А то вдруг ты настолько Ыгсперд? 8-оэто вас в школе учат использовать одну соль для всех? :D
>>> Дык соль разная. Сделай одну и ту же и ...
>> Ну чисто для справки - должен ли я разжевать что есть хеш
>> фукнция и зачем таки примешивают соль?!?!
>> А то вдруг ты настолько Ыгсперд? 8-о
> это вас в школе учат использовать одну соль для всех? :DНу то есть я таки должен тебе объяснять для чего придумали солить хеши? Да\нет?
>>>> Дык соль разная. Сделай одну и ту же и ...
>>> Ну чисто для справки - должен ли я разжевать что есть хеш
>>> фукнция и зачем таки примешивают соль?!?!
>>> А то вдруг ты настолько Ыгсперд? 8-о
>> это вас в школе учат использовать одну соль для всех? :D
> Ну то есть я таки должен тебе объяснять для чего придумали солить
> хеши? Да\нет?Мда.. как дети малые....
> Мда.. как дети малые....Чой то малые? У обоих дяденьков дети твоего возраста небойсь :)
Просто я достебался то того, что он замесил хеш функцию и то, как еЯ применяют в криптухе.
А основное свойство функции в математике, часть еЯ определения - напомнить? Вот то-то :-)Я ж его балбесом не считаю, так, приколы у одминов такие ... детям лучше не смотреть :-р
>> Мда.. как дети малые....
> Чой то малые? У обоих дяденьков дети твоего возраста небойсь :)Дык Маршак помнится считал, что у человека 2 возраста: возраст тела и возраст души.
И они как бы не всегда синхронизированы.> Просто я достебался то того, что он замесил хеш функцию и то,
> как еЯ применяют в криптухе.
> А основное свойство функции в математике, часть еЯ определения - напомнить? Вот
> то-то :-)Эт вы про однозначность отображения множеств что-ли?
Сам могу лекцию прочитать :)
И про многолистные, и не только.> Я ж его балбесом не считаю, так, приколы у одминов такие ...
> детям лучше не смотреть :-р
> Коллеги, всем доброй пятницы.
> переношу почтовик, postfix+dovecot+mysql с одного сервера (ubuntu 12) на другой (ubuntu
> 16)...и вот образовалась проблема:
> в базе (MySQL) пароли шифрованные, и после переноса не читаются.
> проовал переносить БД копированием и ч/з mysqldump.
> прошу совета, что можно сделать?апнусь
>> Коллеги, всем доброй пятницы.
>> переношу почтовик, postfix+dovecot+mysql с одного сервера (ubuntu 12) на другой (ubuntu
>> 16)...и вот образовалась проблема:
>> в базе (MySQL) пароли шифрованные, и после переноса не читаются.
>> проовал переносить БД копированием и ч/з mysqldump.
>> прошу совета, что можно сделать?
> апнусьНу если не хочется перевыпускать пароли - включайте логирование запросов в mysql и вылавливайте пароли. Или если доступ к pop3/imap серверу без ssl/tls, то tcpdump вам в руки ;)
На будущее, уж лучше прикрутить ssl/tls и оставить пароли в чистом виде в базе, чем использовать md5-crypt, имхо
>[оверквотинг удален]
>>> 16)...и вот образовалась проблема:
>>> в базе (MySQL) пароли шифрованные, и после переноса не читаются.
>>> проовал переносить БД копированием и ч/з mysqldump.
>>> прошу совета, что можно сделать?
>> апнусь
> Ну если не хочется перевыпускать пароли - включайте логирование запросов в mysql
> и вылавливайте пароли. Или если доступ к pop3/imap серверу без ssl/tls,
> то tcpdump вам в руки ;)
> На будущее, уж лучше прикрутить ssl/tls и оставить пароли в чистом виде
> в базе, чем использовать md5-crypt, имхоssl/tls и так у меня крутится, во всю.....
да вот честно говоря, не думал что такое будет, поэтому и юзал md5-crypt....больше не буду и не советую ни кому.....
> и оставить пароли в чистом виде в базеНе слушайте этот бред.
Передавать пароль можно plain text через TLS, но хранить надо исключительно шифрованным.
У меня лично Blowfish. При переносе базы на новый сервер проблем не было.
> но хранить надо исключительно шифрованным.это у вас в каком то ГОСТе описано? :D Например, тот же CRAM-MD5 не будет работать с шифрованными паролями, так что не несите чушь.
> У меня лично Blowfish. При переносе базы на новый сервер проблем не было.и?