passwd - Benutzerpasswort ändern
SYNOPSIS
passwd [Optionen] [BENUTZERNAME]
BESCHREIBUNG
Der Befehl passwd ändert Passwörter für Benutzerkonten. Ein normaler Benutzer kann nur das Passwort für sein eigenes Konto ändern, während der Superuser das Passwort für jedes beliebige Konto ändern kann. Der Befehl passwd ändert auch die Gültigkeitsdauer des Kontos oder des zugehörigen Passworts.
Passwortänderungen
Wenn das Konto ein nicht leeres Passwort hat, wird der Benutzer zunächst aufgefordert, sein aktuelles Passwort einzugeben. Das eingegebene Passwort wird verschlüsselt und mit dem gespeicherten Wert verglichen. Der Benutzer hat nur einen Versuch, das richtige Passwort einzugeben. Der Superuser kann diesen Schritt überspringen, um das Ändern vergessener Passwörter zu ermöglichen.
Nachdem das Passwort eingegeben wurde, werden die Passwortalterungsinformationen überprüft, um festzustellen, ob der Benutzer das Passwort zu diesem Zeitpunkt ändern darf. Wenn nicht, lehnt passwd die Passwortänderung ab und beendet das Programm.
Der Benutzer wird dann zweimal aufgefordert, ein neues Passwort einzugeben. Der zweite Eintrag wird mit dem ersten verglichen, und beide müssen übereinstimmen, damit das Passwort geändert werden kann.
Anschließend wird das Passwort auf seine Komplexität geprüft. passwd lehnt Passwörter ab, die die Komplexitätsanforderungen nicht erfüllen. Verwenden Sie keine Systemstandard-Lösch- oder Tötungszeichen.
Hinweise zu Benutzerpasswörtern
Die Sicherheit eines Passworts hängt von der Stärke des Verschlüsselungsalgorithmus und der Größe des Schlüsselraums ab. Die ältere UNIX-Systemverschlüsselungsmethode basiert auf dem NBS DES-Algorithmus. Neuere Methoden werden jetzt empfohlen (siehe ENCRYPT_METHOD). Die Größe des Schlüsselraums hängt von der Zufälligkeit des ausgewählten Passworts ab.
Sicherheitslücken bei Passwörtern entstehen normalerweise durch unvorsichtige Passwortauswahl oder -handhabung. Daher sollten Sie kein Passwort wählen, das in einem Wörterbuch enthalten ist oder das notiert werden muss. Das Passwort sollte auch kein Eigenname, Ihre Führerscheinnummer, Ihr Geburtsdatum oder Ihre Adresse sein. All dies kann als Vermutung verwendet werden, um die Systemsicherheit zu gefährden.
Als allgemeine Richtlinie sollten Passwörter lang und zufällig sein. Es ist in Ordnung, einfache Zeichensätze zu verwenden, z. B. Passwörter, die nur aus Kleinbuchstaben bestehen, wenn dies dazu beiträgt, sich längere Passwörter zu merken. Für ein Passwort, das nur aus zufällig ausgewählten Kleinbuchstaben des englischen Alphabets besteht und eine Länge von 32 hat, gibt es 26^32 (ungefähr 2^150) verschiedene mögliche Kombinationen. Da es sich um eine Exponentialgleichung handelt, ist es offensichtlich, dass der Exponent (die Länge) wichtiger ist als die Basis (die Größe des Zeichensatzes).
Sie finden Hinweise zur Auswahl eines sicheren Passworts unter https://de.wikipedia.org/wiki/Passwortsicherheit
OPTIONEN
Die Optionen, die für den Befehl passwd gelten, sind:
-a, --all
Diese Option kann nur mit -S verwendet werden und bewirkt, dass der Status für alle Benutzer angezeigt wird.
-d, --delete
Löscht das Passwort eines Benutzers und macht es leer. Dieser Befehl setzt das Konto so, dass es kein Passwort hat.
-e, --expire
Lässt das Passwort eines Kontos sofort ablaufen. Dies kann ein Benutzer effektiv dazu zwingen, sein Passwort bei der nächsten Anmeldung zu ändern.
-h, --help
Zeigt eine Hilfenachricht an und beendet das Programm.
-i, --inactive INAKTIV
Diese Option wird verwendet, um ein Konto nach Ablauf des Passworts für eine bestimmte Anzahl von Tagen zu deaktivieren. Nachdem ein Benutzerkonto für INAKTIV Tage ein abgelaufenes Passwort hatte, kann sich der Benutzer nicht mehr bei dem Konto anmelden.
-k, --keep-tokens
Gibt an, dass die Passwortänderung nur für abgelaufene Authentifizierungstoken (Passwörter) durchgeführt werden soll. Der Benutzer möchte seine nicht abgelaufenen Token wie zuvor behalten.
-l, --lock
Sperrt das Passwort des angegebenen Kontos. Diese Option deaktiviert ein Passwort, indem sie einen Wert hinzufügt, der keinem möglichen verschlüsselten Wert entspricht (sie fügt ein ´!´ am Anfang des Passworts hinzu).
Beachten Sie, dass dies das Konto nicht deaktiviert. Der Benutzer kann sich möglicherweise immer noch mit einem anderen Authentifizierungstoken anmelden (z. B. einem SSH-Schlüssel). Um das Konto zu deaktivieren, sollten Administratoren usermod --expiredate 1 verwenden (dies setzt das Ablaufdatum des Kontos auf 1970-01-02).
Benutzer mit einem gesperrten Passwort dürfen ihr Passwort nicht ändern.
-n, --mindays MIN_TAGE
Setzt die minimale Anzahl von Tagen zwischen Passwortänderungen auf MIN_TAGE. Ein Wert von Null für dieses Feld bedeutet, dass der Benutzer sein Passwort jederzeit ändern kann.
-q, --quiet
Leiser Modus.
-r, --repository REPOSITORY
Ändert das Passwort im REPOSITORY-Repository.
-R, --root CHROOT_VERZEICHNIS
Wendet Änderungen im CHROOT_VERZEICHNIS-Verzeichnis an und verwendet die Konfigurationsdateien aus dem CHROOT_VERZEICHNIS-Verzeichnis. Es werden nur absolute Pfade unterstützt.
-P, --prefix PREFIX_VERZEICHNIS
Wendet Änderungen auf Konfigurationsdateien im Root-Dateisystem unter dem Verzeichnis PREFIX_VERZEICHNIS an. Diese Option ändert das System nicht und ist für die Vorbereitung eines Cross-Kompilierungsziels bestimmt. Einige Einschränkungen: NIS- und LDAP-Benutzer/Gruppen werden nicht überprüft. Keine PAM-Unterstützung. Keine SELINUX-Unterstützung.
-S, --status
Zeigt Kontostatusinformationen an. Die Statusinformationen bestehen aus 7 Feldern. Das erste Feld ist der Login-Name des Benutzers. Das zweite Feld zeigt an, ob das Benutzerkonto ein gesperrtes Passwort (L), kein Passwort (NP) oder ein verwendbares Passwort (P) hat. Das dritte Feld gibt das Datum der letzten Passwortänderung an. Die nächsten vier Felder sind das minimale Alter, das maximale Alter, die Warnperiode und die Inaktivitätsperiode für das Passwort. Diese Altersangaben werden in Tagen angegeben.
-u, --unlock
Entsperrt das Passwort des angegebenen Kontos. Diese Option aktiviert ein Passwort wieder, indem sie das Passwort auf seinen vorherigen Wert zurücksetzt (auf den Wert vor der Verwendung der Option -l).
-w, --warndays WARN_TAGE
Setzt die Anzahl der Tage der Warnung vor einer erforderlichen Passwortänderung. Die Option WARN_TAGE ist die Anzahl der Tage vor dem Ablauf des Passworts, während der der Benutzer gewarnt wird, dass sein Passwort bald abläuft.
-x, --maxdays MAX_TAGE
Setzt die maximale Anzahl von Tagen, für die ein Passwort gültig ist. Nach MAX_TAGE muss das Passwort geändert werden.
Wenn Sie -1 als MAX_TAGE angeben, wird die Überprüfung der Gültigkeit eines Passworts deaktiviert.
-s, --stdin
Diese Option wird verwendet, um anzugeben, dass passwd das neue Passwort von der Standardeingabe lesen soll, was eine Pipe sein kann.
HINWEISE
Die Passwortkomplexitätsprüfung kann von Website zu Website variieren. Der Benutzer wird aufgefordert, ein Passwort auszuwählen, das so komplex ist, wie er oder sie es für angemessen hält.
Benutzer können ihr Passwort in einem System möglicherweise nicht ändern, wenn NIS aktiviert ist und sie nicht am NIS-Server angemeldet sind.
passwd verwendet PAM, um Benutzer zu authentifizieren und ihre Passwörter zu ändern.
DATEIEN
/etc/passwd
Benutzerkontoinformationen.
/etc/shadow
Sichere Benutzerkontoinformationen.
/etc/pam.d/passwd
PAM-Konfiguration für passwd.
RÜCKGABEWERTE
Der Befehl passwd wird mit den folgenden Werten beendet:
0 Erfolg
1 Zugriff verweigert
2 Ungültige Kombination von Optionen
3 Unerwarteter Fehler, nichts getan
4 Passwortdatei fehlt, unerwarteter Fehler
5 Passwortdatei ist belegt, versuchen Sie es erneut
6 Ungültiges Argument für Option
10 Ein Fehler wurde von [pam]({filename}../../pam)(3) zurückgegeben.
SIEHE AUCH
chpasswd(8), makepasswd(1), passwd(5), shadow(5), usermod(8).
Die folgende Webseite vergleicht auf humorvolle (und korrekte) Weise die Stärke zweier verschiedener Methoden zur Passwortwahl: "https://xkcd.com/936/"