passwd - изменение пароля пользователя
СИНТАКСИС
passwd [опции] [ИМЯ_ПОЛЬЗОВАТЕЛЯ]
ОПИСАНИЕ
Команда passwd изменяет пароли учетных записей пользователей. Обычный пользователь может изменять только пароль своей учетной записи, а суперпользователь может изменять пароль любой учетной записи. Команда passwd также изменяет период действия учетной записи или связанного с ней пароля.
Изменение паролей
Если в учетной записи есть непустой пароль, пользователю сначала предлагается ввести свой текущий пароль. Введенный пароль шифруется и сравнивается с сохраненным значением. У пользователя есть только одна попытка ввести правильный пароль. Суперпользователь может пропустить этот шаг, чтобы разрешить изменение забытых паролей.
После ввода пароля проверяется информация о сроке действия пароля, чтобы определить, разрешено ли пользователю изменять пароль в данный момент. Если нет, команда passwd отказывается изменять пароль и завершает работу.
Затем пользователю предлагается дважды ввести новый пароль. Второй ввод сравнивается с первым, и оба должны совпадать, чтобы пароль был изменен.
Затем пароль проверяется на соответствие требованиям к сложности. Команда passwd отклоняет пароли, которые не соответствуют требованиям к сложности. Не используйте системные символы стирания или завершения по умолчанию.
Рекомендации по выбору паролей
Безопасность пароля зависит от надежности алгоритма шифрования и размера пространства ключей. В устаревшем UNIX-методе шифрования используется алгоритм NBS DES. Сейчас рекомендуется использовать более современные методы (см. ENCRYPT_METHOD). Размер пространства ключей зависит от случайности выбранного пароля.
Компрометация безопасности пароля обычно происходит из-за неосторожного выбора или обработки пароля. Поэтому не следует выбирать пароль, который есть в словаре, или который нужно записывать. Пароль также не должен быть именем, номером вашей лицензии, датой рождения или адресом. Любой из этих элементов может быть использован для взлома системы.
В качестве общего правила, пароли должны быть длинными и случайными. Можно использовать простые наборы символов, например, пароли, состоящие только из строчных букв, если это помогает запоминать более длинные пароли. Для пароля, состоящего только из строчных английских букв, выбранных случайным образом, и имеющего длину 32, существует 26^32 (приблизительно 2^150) различных возможных комбинаций. Поскольку это экспоненциальное уравнение, становится очевидно, что экспонента (длина) важнее, чем основание (размер набора символов).
Вы можете найти советы о том, как выбрать надежный пароль, на https://en.wikipedia.org/wiki/Password_strength
ОПЦИИ
Следующие опции применимы к команде passwd:
-a, --all
Эта опция может использоваться только с -S и отображает статус для всех пользователей.
-d, --delete
Удаляет пароль пользователя, делая его пустым. Эта команда устанавливает учетную запись без пароля.
-e, --expire
Немедленно истекает срок действия пароля учетной записи. Фактически это может принудить пользователя изменить свой пароль при следующей попытке входа.
-h, --help
Отображает сообщение справки и завершает работу.
-i, --inactive INACTIVE
Эта опция используется для отключения учетной записи после того, как срок действия пароля истек в течение определенного количества дней. После того как срок действия пароля учетной записи истек в течение INACTIVE дней, пользователь больше не может выполнять вход в учетную запись.
-k, --keep-tokens
Указывает, что изменение пароля должно выполняться только для устаревших токенов аутентификации (паролей). Пользователь хочет сохранить свои неистекшие токены в прежнем виде.
-l, --lock
Блокирует пароль указанной учетной записи. Эта опция отключает пароль, заменяя его значением, которое не соответствует ни одному возможному зашифрованному значению (она добавляет «!» в начало пароля).
Обратите внимание, что это не отключает учетную запись. Пользователь по-прежнему может войти в систему, используя
другой токен аутентификации (например, SSH-ключ). Чтобы отключить учетную запись, администраторам следует
использовать usermod --expiredate 1 (это устанавливает дату окончания срока действия учетной записи в 1970-01-02).
Пользователи с заблокированным паролем не могут изменять свой пароль.
-n, --mindays MIN_DAYS
Устанавливает минимальное количество дней между изменениями пароля на MIN_DAYS. Значение нуля для этого поля указывает, что пользователь может изменять свой пароль в любое время.
-q, --quiet
Тихий режим.
-r, --repository REPOSITORY
изменить пароль в репозитории REPOSITORY
-R, --root CHROOT_DIR
Применить изменения в каталоге CHROOT_DIR и использовать файлы конфигурации из каталога CHROOT_DIR. Поддерживаются только абсолютные пути.
-P, --prefix PREFIX_DIR
Применить изменения к файлам конфигурации в корневой файловой системе, находящимся в каталоге PREFIX_DIR. Эта опция не выполняет chroot и предназначена для подготовки целевого окружения для перекрестной компиляции. Некоторые ограничения: пользователи/группы NIS и LDAP не проверяются. Нет поддержки PAM. Нет поддержки SELINUX.
-S, --status
Отображает информацию о статусе учетной записи. Информация о статусе состоит из 7 полей. Первое поле — имя для входа пользователя. Второе поле указывает, заблокирована ли учетная запись пользователя (L), не имеет ли пароля (NP) или имеет ли рабочий пароль (P). Третье поле указывает дату последнего изменения пароля. Следующие четыре поля — это минимальный возраст, максимальный возраст, период предупреждения и период неактивности пароля. Эти значения указываются в днях.
-u, --unlock
Разблокирует пароль указанной учетной записи. Эта опция повторно включает пароль, изменяя пароль обратно на его предыдущее значение (на значение до использования опции -l).
-w, --warndays WARN_DAYS
Устанавливает количество дней предупреждения перед тем, как потребуется изменить пароль. Опция WARN_DAYS — это количество дней до истечения срока действия пароля, в течение которых пользователю сообщается, что срок действия его пароля скоро истечет.
-x, --maxdays MAX_DAYS
Устанавливает максимальное количество дней, в течение которых пароль остается действительным. После MAX_DAYS пароль необходимо изменить.
Передача значения -1 в качестве MAX_DAYS отключает проверку срока действия пароля.
-s, --stdin
Эта опция используется для указания того, что команда passwd должна считывать новый пароль из стандартного ввода, которым может быть конвейер.
ОГРАНИЧЕНИЯ
Проверка сложности пароля может отличаться на разных сайтах. Пользователю рекомендуется выбирать пароль, сложность которого соответствует его личным предпочтениям.
Пользователи могут не иметь возможности изменить свой пароль в системе, если включена NIS и они не вошли в систему с сервера NIS.
passwd использует PAM для аутентификации пользователей и изменения их паролей.
ФАЙЛЫ
/etc/passwd
Информация об учетных записях пользователей.
/etc/shadow
Защищенная информация об учетных записях пользователей.
/etc/pam.d/passwd
Конфигурация PAM для passwd.
ЗНАЧЕНИЯ КОДОВ ВЫХОДА
Команда passwd завершается со следующими значениями:
0 успех
1 отказано в доступе
2 неверная комбинация опций
3 непредвиденная ошибка, ничего не сделано
4 файл passwd отсутствует, произошла непредвиденная ошибка
5 файл passwd занят, повторите попытку
6 неверный аргумент опции
10 ошибка, возвращенная [pam]({filename}../../pam)(3)
ССЫЛКИ
chpasswd(8), makepasswd(1), passwd(5), shadow(5), usermod(8).
На следующей веб-странице комичным (но точным) образом сравниваются два разных метода выбора пароля: "https://xkcd.com/936/"