Verschlüsseln Sie ein Passwort genauso wie mysql

Ich habe einen Benutzer angelegt, aber das Passwort vergessen

mysql> erstelle Benutzer 'blayo' @ '%' identifiziert mit 'right';

Welches Linux-Kommandozeilen-Tool kann das Passwort genauso verschlüsseln wie mysql 5.5?

mysql> wähle Passwort, Benutzer von mysql.user
------------------------------------------ + ------- +
* 920018161824B14A1067A69626595E68CB8284CB | blayo |

... um sicher zu gehen, dass ich die richtige benutze

$ tool richtig
* 920018161824B14A1067A69626595E68CB8284CB

Nun, der triviale (vielleicht betrügerische ) Weg wäre:

mysql -NBe "select password('right')"

Dies erzeugt ein Passwort unter Verwendung des von Ihrer Version von mysql verwendeten Passwort-Hashing-Schemas. [ EDIT : hinzugefügt -NB, die Kunst der Beseitigung der Spaltennamen und ASCII - Tabelle erhält.]

Einige Einzeiler:

MySQL (möglicherweise müssen Sie -u (Benutzer) -p hinzufügen):

mysql -NBe "select password('right')"

Python :

python -c 'from hashlib import sha1; print "*" + sha1(sha1("right").digest()).hexdigest().upper()'

Perl :

perl -MDigest::SHA1=sha1_hex -MDigest::SHA1=sha1 -le 'print "*". uc sha1_hex(sha1("right"))'

PHP :

php -r 'echo "*" . strtoupper(sha1(sha1("right", TRUE))). "\n";'

Ruby :

ruby -e 'require "digest/sha1"; puts "*" + Digest::SHA1.hexdigest(Digest::SHA1.digest("right")).upcase'

Alle Ausgaben:

* 920018161824B14A1067A69626595E68CB8284CB

Es macht mich immer noch wahnsinnig, dass es MySQL nichts ausmacht, Passwörter in der Befehlszeile und in Protokollen zu verschleiern. Und das ist der einzige Grund, warum ich eine Antwort hinzufüge, anstatt nur die Antwort von @Gilles zu kommentieren.

Also, natürlich, Sie könnten einfach als Administrator bei MySQL anmelden und ein neues Kennwort für Ihren blayo-Benutzer festlegen, wie von @patrix vorgeschlagen.

Die Standardmethode hierfür ist jedoch die Verwendung der Funktion password () von MySQL, die ein Klartext-Passwort als Argument verwendet (ernst gemeint?).

Wenn Sie dies tun, belassen Sie die Klartext-Version Ihres MySQL-Benutzerpassworts in Ihrem Bash-Verlauf und in Ihren MySQL-Protokollen, damit jeder, der Zugriff auf diese Protokolldateien hat, später darauf zugreifen kann.

Wäre es nicht besser, ein kleines Dienstprogramm zu haben, das Sie zur Eingabe des Kennworts auffordert, ohne es auf dem Bildschirm oder in Ihren Protokollen wiederzugeben, und dann den resultierenden MySQL-kompatiblen Hash bereitzustellen?

Wenn Sie also die Antwort von @ Gilles ein wenig ändern, wie wäre es mit einem kleinen Shell-Skript, das wie folgt Python verwendet. Sie können dies leicht ändern, um eine SQL-Anweisung für Ihre MySQL-Datenbank auszuführen und das Kennwort gleichzeitig festzulegen. Aber auch ohne dies zu tun, kopieren Sie den resultierenden Hash und fügen Sie ihn in eine SQL-Anweisung ein, um die Benutzertabelle zu aktualisieren:

#!/bin/bash

mysqlpwd=$(/usr/bin/python -c 'from hashlib import sha1; import getpass; print "*" + sha1(sha1(getpass.getpass("New MySQL Password:")).digest()).hexdigest()')

echo $mysqlpwd

Noch eine mit der Shell:

echo -n 'right' | sha1sum | xxd -r -p |\
sha1sum | tr '[a-z]' '[A-Z]' | awk '{printf "*%s", $1}'

Erläuterung:

1. echo -n Ohne Zeilenumbruch drucken
2. sha1sum erste SHA1
3. xxd -r -p enthexe den Hash
4. sha1sum zweiter SHA1
5. tr '[a-z]' '[A-Z]' in Großbuchstaben konvertieren
6. awk '{print "*" $1}' führend hinzufügen *

Mehr Details:

Zwischen 2. und 3. kann ein optionaler awk '{printf "%s", $1}'Schritt zum Entfernen von Zeilenumbrüchen und Bindestrichen eingefügt werden. Aber xxd wird sie trotzdem ignorieren (Danke an dave_thompson_085).

Außerdem können die Schritte 5 und 6 sofort ausgeführt werden, indem sie durch {print "*" toupper($1)}(Dank an dave_thompson_085) ersetzt werden.

Der Hash ist sha1 (sha1 (Passwort)) . Da es kein Salz gibt (was eine gravierende Sicherheitslücke darstellt), können Sie den Hash in einer Tabelle nachschlagen .

Mit nur POSIX-Tools plus sha1sumvon GNU coreutils oder BusyBox ist sha1 (sha1 (password)) lästig zu berechnen, da der sha1sumBefehl den Digest hexadezimal ausgibt und es kein Standard-Tool gibt, das in Binärdaten konvertiert werden kann.

awk "$(printf %s 'right' | sha1sum |
       sed -e 's/ .*//' -e 's/../, 0x&/g' \
           -e 's/^/BEGIN {printf "%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c"/' \
           -e 's/$/; exit}/')" | sha1sum

Python verfügt in seinen Standardbibliotheken über Standardauszüge, sodass es sich um einen einfachen Einzeiler handelt.

printf %s 'right' |
python -c 'from hashlib import sha1; import sys; print sha1(sha1(sys.stdin.read()).digest()).hexdigest()'

Oder mit dem Passwort im Einzeiler:

python -c 'from hashlib import sha1; print sha1(sha1("right").digest()).hexdigest()'

Wenn Sie einen Benutzer erstellt und das Kennwort vergessen haben, sollten Sie dies tun und es ist einfacher.

Das ist mir auch ein Dutzend Mal passiert, als ich 10 Milliarden Dinge gleichzeitig gemacht habe. Der beste Weg, mein Passwort wiederherzustellen, war:

stoppte den MySQL-Server vollständig zuerst

mysqld_safe --skip-grant-tables & ausgegeben

dann habe ich mich als root angemeldet ohne ein Passwort zu vergeben, nur mysql -u mysql-user (es lässt dich nach mysqld_safe rein)

Gehen Sie dann zur Tabelle mysql> user und aktualisieren Sie das Kennwort für den Benutzer

dann gehe zurück und starte mysql neu

Sehen Sie nach, ob das funktioniert, und lassen Sie es uns wissen.

Ein anderer mit der Shell

echo -n 'right' | openssl sha1 -binary | openssl sha1 -hex | \
    awk '{print "*"toupper($0)}'

... welche Ausgänge:

*920018161824B14A1067A69626595E68CB8284CB

MySQL 4.1+ verwendet doppeltes SHA1

> SELECT PASSWORD("right")
*920018161824B14A1067A69626595E68CB8284CB

> SELECT SHA1(UNHEX(SHA1("right")))
920018161824B14A1067A69626595E68CB8284CB

sh-3.2# php -r 'echo "*" . sha1(sha1("right", TRUE)). "\n";'
*920018161824b14a1067a69626595e68cb8284cb

Dieser Algorithmus kann problemlos in andere Sprachen portiert werden. Ein Unterschied besteht darin, dass Kennwort-Hashes im Feld "Kennwort auswählen" immer mit einem "*" beginnen.