November 03, 2009

自動的にパスワードがハッシュ化される。¶

CouchDBのFutonへのアクセスは、http://localhost:5984/_utils/でできるわけだが、外に公開するサーバだと勝手に更新されるのはいかがなものかなぁと思い、/etc/couchdb/local.iniを調べてみたら 1 、認証かけられそうな設定があった。 2

; To create an admin account uncomment the '[admins]' section below and add a
; line in the format 'username = password'. When you next start CouchDB, it
; will change the password to a hash (so that your passwords don't linger
; around in plain-text files). You can add more admin accounts with more
; 'username = password' lines. Don't forget to restart CouchDB after
; changing this.
[admins]
;admin = mysecretpassword

む、

When you next start CouchDB, it will change the password to a hash (so that your passwords don’t linger around in plain-text files).

とな。実際にやってみる。

# git diff
diff --git a/local.ini b/local.ini
index 0a11877..eec1be3 100755
--- a/local.ini
+++ b/local.ini
@@ -9,7 +9,7 @@

 [httpd]
 ;port = 5984
-;bind_address = 127.0.0.1
+bind_address = 0.0.0.0

 [log]
 ;level = debug
@@ -28,4 +28,4 @@
 ; 'username = password' lines. Don't forget to restart CouchDB after
 ; changing this.
 [admins]
-;admin = mysecretpassword
+admin = hogehoge

とパスワードとしてCouchDBを再起動してみる。

$ sudo /opt/couchdb/etc/init.d/couchdb restart

再度、diffってみる。

diff --git a/local.ini b/local.ini
index 0a11877..eec1be3 100755
--- a/local.ini
+++ b/local.ini
@@ -9,7 +9,7 @@

 [httpd]
 ;port = 5984
-;bind_address = 127.0.0.1
+bind_address = 0.0.0.0

 [log]
 ;level = debug
@@ -28,4 +28,4 @@
 ; 'username = password' lines. Don't forget to restart CouchDB after
 ; changing this.
 [admins]
-;admin = mysecretpassword
+admin = -hashed-9b0a0bcd7318df5d0ef874a504dc2765f5165003,7478a0d6aad0771ad7211c

と、まぁ勝手に書き換えてくれる 3 。これは便利だ。

Erlangで書き換えている部分¶

実際のソースコード中ではこんな処理になってる。

src/couchdb/couch_server.erl

is_admin(User, ClearPwd) ->
   case couch_config:get("admins", User) of
   "-hashed-" ++ HashedPwdAndSalt ->
       [HashedPwd, Salt] = string:tokens(HashedPwdAndSalt, ","),
       couch_util:to_hex(crypto:sha(ClearPwd ++ Salt)) == HashedPwd;
   _Else ->
       false
   end.

平文だったら、”-hashed-“という接頭辞をつけて、ハッシュ化したパスワードで書き換えるわけですな。ハッシュ化されたパスワードの途中に”,”があるが、最初これもランダムで書き換えられた文字列かと思っていたが、そうではないみたいだ。上記の85行目に

string:tokens(HashedPwdAndSalt, ","),

とあるので、stringモジュールのtokens(String, SeparatorList) -> Tokensで、”,”で文字列をHashedPwdとSaltに分割していたわけだ。パスワードのハッシュ化とSalt自体の生成は以下で行われている。

hash_admin_passwords(Persist) ->
   lists:foreach(
       fun({_User, "-hashed-" ++ _}) ->
           ok; % already hashed
       ({User, ClearPassword}) ->
           Salt = ?b2l(couch_uuids:random()),
           Hashed = couch_util:to_hex(crypto:sha(ClearPassword ++ Salt)        ),
           couch_config:set("admins",
               User, "-hashed-" ++ Hashed ++ "," ++ Salt, Persist)
       end, couch_config:get("admins")).

couch_uuids:random()は、src/couchdb/couch_uuids.erlの

32 random() ->
33     list_to_binary(couch_util:to_hex(crypto:rand_bytes(16))).

と。local.iniで上書きされたハッシュ化されたパスワードの中のカンマが気になってたのですっきりした。

それにしてもすんげぇ脱線だ。（わら

Footnotes

1: パスを変更しているので実際のパスは/opt/couchdb/etc/couchdb/local.iniである。
2: ああ、そういや最初のCouchDBの勉強会の時に、Erlangから追っかけるCouchDBで見た気もする。
3: gitのハッシュもハッシュ化されたパスワードも実際の元とはちゃうよ。

投稿者 mkouhei

カテゴリー: CouchDB

タグ: Erlang