passwd(1) ändert das Passwort eines Benutzers

ÜBERSICHT

passwd [Optionen] [ANMELDENAME]

BESCHREIBUNG

Der Befehl passwd ändert die Passwörter von Benutzerkonten. Ein normaler Benutzer kann nur das Passwort seines Kontos verändern, der Superuser dagegen kann die Passwörter aller Konten ändern. Mit passwd können auch die Informationen über das Konto und die Gültigkeitsdauer des Passworts verändert werden.

Verändern des Passworts

Der Benutzer wird zuerst nach seinem alten Passwort gefragt, falls eines vorhanden ist. Dieses Passwort wird dann verschlüsselt und mit dem gespeicherten Passwort verglichen. Der Benutzer hat nur eine Gelegenheit, das richtige Passwort einzugeben. Der Superuser kann diesen Schritt überspringen, um so vergessene Passwörter zu ändern.

Nachdem das Passwort eingegeben wurde, werden Informationen über die Gültigkeitsdauer des Passworts abgefragt, um festzustellen, ob der Benutzer das Passwort zu dieser Zeit verändern darf. Wenn nicht, lehnt passwd die Änderung des Passworts ab und beendet sich.

Der Benutzer wird dann aufgefordert, zweimal ein neues Passwort einzugeben. Beide Eingaben werden miteinander verglichen. Sie müssen übereinstimmen, damit das Passwort geändert wird.

Anschließend wird das Passwort auf seine Komplexität überprüft. Eine allgemeine Richtlinie besagt, dass Passwörter aus sechs bis acht Zeichen bestehen sollten und ein oder mehrere Zeichen aus folgenden Mengen enthalten sollten:

• Kleinbuchstaben

• Ziffern 0 bis 9

• Satzzeichen

Seien Sie vorsichtig, dass Sie nicht die standardmäßigen Lösch- und Kill-Zeichen des Systems eingeben. passwd weist Passwörter zurück, die nicht hinreichend komplex sind.

Hinweise zu Benutzerpasswörtern

Die Sicherheit eines Passworts hängt von der Stärke des Verschlüsselungsalgorithmus und von der Größe des Schlüsselraums ab. Die hergebrachte Verschlüsselung auf UNIX-Systemen basiert auf dem NBS-DES-Algorithmus. Heutzutage sind neuere Verschlüsselungsmethoden zu empfehlen (vergleiche ENCRYPT_METHOD). Die Größe des Schlüsselraums hängt von der Zufälligkeit des gewählten Passworts ab.

Gefahren für die Sicherheit von Passwörtern kommen gewöhnlich von sorgloser Wahl oder Handhabung des Passworts. Daher sollten Sie kein Passwort wählen, das in einem Wörterbuch auftaucht oder das aufgeschrieben werden muss. Das Passwort sollte somit kein echter Name, Ihr Autokennzeichen, Geburtstag oder Ihre Adresse sein. All das kann dazu verwendet werden, das Passwort zu erraten, und stellt daher eine Gefahr für die Sicherheit Ihres Systems dar.

Ratschläge, wie Sie ein sicheres Passwort wählen, finden Sie unter http://de.wikipedia.org/wiki/Passwort#Wahl_von_sicheren_Passw.C3.B6rtern.

OPTIONEN

Die Optionen, die vom Befehl passwd unterstützt werden, sind:

-a, --all

Diese Option kann nur in Verbindung mit -S verwendet werden und führt dazu, dass der Status aller Benutzer angezeigt wird.

-d, --delete

Löscht das Passwort eines Benutzers (macht es leer). Dies ist ein schneller Weg, um das Passwort eines Kontos zu deaktivieren. Dem Konto ist dann kein Passwort zugeordnet.

-e, --expire

Lässt das Passwort eines Kontos sofort verfallen. Im Ergebnis kann damit erreicht werden, dass ein Benutzer beim nächsten Login das Passwort ändern muss.

-h, --help

zeigt die Hilfe an und beendet das Programm

-i, --inactive INAKTIV

Mit dieser Option wird ein Konto deaktiviert, nachdem das Passwort für eine bestimmte Anzahl von Tagen abgelaufen ist. Wenn ein Benutzerkonto ein abgelaufenes Passwort für länger als INAKTIV Tage hatte, kann sich der Benutzer nicht mehr auf diesem Konto anmelden.

-k, --keep-tokens

Zeigt an, dass nur abgelaufene Passwörter geändert werden sollen. Der Benutzer möchte seine gültigen Passwörter unverändert lassen.

-l, --lock

Sperrt das Passwort des bezeichneten Kontos. Die Option schaltet ein Passwort ab, indem es ihm einen Wert zuweist, der mit keinem möglichen verschlüsselten Wert übereinstimmen kann. Dies geschieht, indem ein »!« dem Passwort vorangestellt wird.

Beachten Sie, dass damit nicht das Konto deaktiviert wird. Der Benutzer kann sich immer noch mit einer anderen Authentifizierungsmethode (etwa einem SSH-Schlüssel) anmelden. Um ein Konto abzuschalten, sollte der Administrator usermod --expiredate 1 verwenden; dies setzt das Verfallsdatum des Kontos auf den 2. Januar 1970.

Benutzer mit einem gesperrten Passwort können dieses nicht ändern.

-n, --mindays MIN_TAGE

Setzt die Anzahl von Tagen, die mindestens zwischen zwei Änderungen eines Passworts vergehen müssen, auf MIN_TAGE. Ein Wert von Null in diesem Feld bedeutet, dass der Benutzer sein Passwort jederzeit ändern darf.

-q, --quiet

stiller Modus

-r, --repository DEPOT

ändert das Passwort im Depot DEPOT

-R, --root CHROOT_VERZ

führt die Veränderungen in dem Verzeichnis CHROOT_VERZ durch und verwendet die Konfigurationsdateien aus dem Verzeichnis CHROOT_VERZ

-S, --status

Zeigt Informationen über den Kontostatus an. Die Statusinformation besteht aus sieben Feldern. Das erste Feld ist der Anmeldename des Benutzers. Das zweite Feld zeigt an, ob das Benutzerkonto ein gesperrtes Passwort (L), kein Passwort (NP) oder ein verwendbares Passwort hat (P). Das dritte Feld zeigt das Datum der letzten Änderung des Passworts an. Die nächsten vier Felder sind das Mindestalter, das Höchstalter, die Dauer der Warnung und die Dauer der Untätigkeit für das Passwort. Die Zeiträume werden in Tagen ausgedrückt.

-u, --unlock

Entsperrt das bezeichnete Konto. Diese Option reaktiviert ein Konto wieder, indem das Passwort auf seinen alten Wert zurückgesetzt wird, den es hatte, bevor die Option -l verwendet wurde.

-w, --warndays WARN_TAGE

Legt die Anzahl der Tage fest, an denen der Benutzer eine Warnung erhält, bevor sein Passwort ungültig wird. Die Option WARN_TAGE bezeichnet die Anzahl der Tage, für die ein Benutzer vor Verfall seines Passworts gewarnt wird.

-x, --maxdays MAX_TAGE

Bestimmt die maximale Anzahl von Tagen, die das Passwort gültig bleibt. Nach MAX_TAGE Tagen muss das Passwort geändert werden.

WARNUNGEN

Die Komplexität der Passwortprüfung kann sich auf verschiedenen Systemen unterscheiden. Der Benutzer wird angehalten, ein möglichst komplexes, von ihm aber gut zu verwendendes Passwort zu wählen.

Benutzer können unter Umständen ihr Passwort nicht ändern, wenn auf dem System NIS aktiviert ist, sie aber nicht am NIS-Server angemeldet sind.

passwd verwendet PAM, um einen Benutzer zu authentifizieren und sein Passwort zu ändern.

DATEIEN

/etc/passwd

Informationen zu den Benutzerkonten

/etc/shadow

verschlüsselte Informationen zu den Benutzerkonten

/etc/pam.d/passwd

PAM-Konfiguration für passwd

RÜCKGABEWERTE

Der Befehl passwd gibt beim Beenden folgende Werte zurück:

0

Erfolg

1

Berechtigung verweigert

2

ungültige Kombination von Optionen

3

unerwarteter Fehler, nichts wurde verändert

4

unerwarteter Fehler, die Datei passwd fehlt

5

Datei passwd wird benutzt, bitte nochmal versuchen

6

ungültiges Argument für Option