table of contents
other sections
PASSWD(1) | Dienstprogramme für Benutzer | PASSWD(1) |
NAME¶
passwd - ändert das Passwort eines BenutzersÜBERSICHT¶
passwd
[ Optionen] [ANMELDENAME]
BESCHREIBUNG¶
Der Befehl passwd ändert die Passwörter von Benutzerkonten. Ein normaler Benutzer kann nur das Passwort seines Kontos verändern, der Superuser dagegen kann die Passwörter aller Konten ändern. Mit passwd können auch die Informationen über das Konto und die Gültigkeitsdauer des Passworts verändert werden.Verändern des Passworts¶
Der Benutzer wird zuerst nach seinem alten Passwort gefragt, falls eines vorhanden ist. Dieses Passwort wird dann verschlüsselt und mit dem gespeicherten Passwort verglichen. Der Benutzer hat nur eine Gelegenheit, das richtige Passwort einzugeben. Der Superuser kann diesen Schritt überspringen, um so vergessene Passwörter zu ändern. Nachdem das Passwort eingegeben wurde, werden Informationen über die Gültigkeitsdauer des Passworts abgefragt, um festzustellen, ob der Benutzer das Passwort zu dieser Zeit verändern darf. Wenn nicht, lehnt passwd die Änderung des Passworts ab und beendet sich. Der Benutzer wird dann aufgefordert, zweimal ein neues Passwort einzugeben. Beide Eingaben werden miteinander verglichen. Sie müssen übereinstimmen, damit das Passwort geändert wird. Anschließend wird das Passwort auf seine Komplexität überprüft. Eine allgemeine Richtlinie besagt, dass Passwörter aus sechs bis acht Zeichen bestehen sollten und ein oder mehrere Zeichen aus folgenden Mengen enthalten sollten:•Kleinbuchstaben
•Ziffern 0 bis 9
•Satzzeichen
Seien Sie vorsichtig, dass Sie nicht die standardmäßigen Lösch-
und Kill-Zeichen des Systems eingeben. passwd weist Passwörter
zurück, die nicht hinreichend komplex sind.
Hinweise zu Benutzerpasswörtern¶
Die Sicherheit eines Passworts hängt von der Stärke des Verschlüsselungsalgorithmus und von der Größe des Schlüsselraums ab. Die hergebrachte Verschlüsselung auf UNIX-Systemen basiert auf dem NBS-DES-Algorithmus. Heutzutage sind neuere Verschlüsselungsmethoden zu empfehlen (vergleiche ENCRYPT_METHOD). Die Größe des Schlüsselraums hängt von der Zufälligkeit des gewählten Passworts ab. Gefahren für die Sicherheit von Passwörtern kommen gewöhnlich von sorgloser Wahl oder Handhabung des Passworts. Daher sollten Sie kein Passwort wählen, das in einem Wörterbuch auftaucht oder das aufgeschrieben werden muss. Das Passwort sollte somit kein echter Name, Ihr Autokennzeichen, Geburtstag oder Ihre Adresse sein. All das kann dazu verwendet werden, das Passwort zu erraten, und stellt daher eine Gefahr für die Sicherheit Ihres Systems dar. Ratschläge, wie Sie ein sicheres Passwort wählen, finden Sie unter http://de.wikipedia.org/wiki/Passwort#Wahl_von_sicheren_Passw.C3.B6rtern.OPTIONEN¶
Die Optionen, die vom Befehl passwd unterstützt werden, sind: -a, --allDiese Option kann nur in Verbindung mit
-S verwendet werden und führt dazu, dass der Status aller Benutzer
angezeigt wird.
-d, --delete
Löscht das Passwort eines Benutzers
(macht es leer). Dies ist ein schneller Weg, um das Passwort eines Kontos zu
deaktivieren. Dem Konto ist dann kein Passwort zugeordnet.
-e, --expire
Lässt das Passwort eines Kontos sofort
verfallen. Im Ergebnis kann damit erreicht werden, dass ein Benutzer beim
nächsten Login das Passwort ändern muss.
-h, --help
zeigt die Hilfe an und beendet das
Programm
-i, --inactiveINAKTIV
Mit dieser Option wird ein Konto deaktiviert,
nachdem das Passwort für eine bestimmte Anzahl von Tagen abgelaufen ist.
Wenn ein Benutzerkonto ein abgelaufenes Passwort für länger als
INAKTIV Tage hatte, kann sich der Benutzer nicht mehr auf diesem Konto
anmelden.
-k, --keep-tokens
Zeigt an, dass nur abgelaufene Passwörter
geändert werden sollen. Der Benutzer möchte seine gültigen
Passwörter unverändert lassen.
-l, --lock
Sperrt das Passwort des bezeichneten Kontos.
Die Option schaltet ein Passwort ab, indem es ihm einen Wert zuweist, der mit
keinem möglichen verschlüsselten Wert übereinstimmen kann. Dies
geschieht, indem ein »!« dem Passwort vorangestellt wird.
Beachten Sie, dass damit nicht das Konto deaktiviert wird. Der Benutzer kann
sich immer noch mit einer anderen Authentifizierungsmethode (etwa einem
SSH-Schlüssel) anmelden. Um ein Konto abzuschalten, sollte der
Administrator usermod --expiredate 1 verwenden; dies setzt das
Verfallsdatum des Kontos auf den 2. Januar 1970.
Benutzer mit einem gesperrten Passwort können dieses nicht
ändern.
-n, --mindaysMIN_TAGE
Setzt die Anzahl von Tagen, die mindestens
zwischen zwei Änderungen eines Passworts vergehen müssen, auf
MIN_TAGE. Ein Wert von Null in diesem Feld bedeutet, dass der Benutzer
sein Passwort jederzeit ändern darf.
-q, --quiet
stiller Modus
-r, --repositoryDEPOT
ändert das Passwort im Depot
DEPOT
-R, --rootCHROOT_VERZ
führt die Veränderungen in dem
Verzeichnis CHROOT_VERZ durch und verwendet die Konfigurationsdateien
aus dem Verzeichnis CHROOT_VERZ
-S, --status
Zeigt Informationen über den Kontostatus
an. Die Statusinformation besteht aus sieben Feldern. Das erste Feld ist der
Anmeldename des Benutzers. Das zweite Feld zeigt an, ob das Benutzerkonto ein
gesperrtes Passwort (L), kein Passwort (NP) oder ein verwendbares Passwort hat
(P). Das dritte Feld zeigt das Datum der letzten Änderung des Passworts
an. Die nächsten vier Felder sind das Mindestalter, das Höchstalter,
die Dauer der Warnung und die Dauer der Untätigkeit für das
Passwort. Die Zeiträume werden in Tagen ausgedrückt.
-u, --unlock
Entsperrt das bezeichnete Konto. Diese Option
reaktiviert ein Konto wieder, indem das Passwort auf seinen alten Wert
zurückgesetzt wird, den es hatte, bevor die Option -l verwendet
wurde.
-w, --warndaysWARN_TAGE
Legt die Anzahl der Tage fest, an denen der
Benutzer eine Warnung erhält, bevor sein Passwort ungültig wird. Die
Option WARN_TAGE bezeichnet die Anzahl der Tage, für die ein
Benutzer vor Verfall seines Passworts gewarnt wird.
-x, --maxdaysMAX_TAGE
Bestimmt die maximale Anzahl von Tagen, die
das Passwort gültig bleibt. Nach MAX_TAGE Tagen muss das Passwort
geändert werden.
WARNUNGEN¶
Die Komplexität der Passwortprüfung kann sich auf verschiedenen Systemen unterscheiden. Der Benutzer wird angehalten, ein möglichst komplexes, von ihm aber gut zu verwendendes Passwort zu wählen. Benutzer können unter Umständen ihr Passwort nicht ändern, wenn auf dem System NIS aktiviert ist, sie aber nicht am NIS-Server angemeldet sind. passwd verwendet PAM, um einen Benutzer zu authentifizieren und sein Passwort zu ändern.DATEIEN¶
/etc/passwdInformationen zu den Benutzerkonten
/etc/shadow
verschlüsselte Informationen zu den
Benutzerkonten
/etc/pam.d/passwd
PAM-Konfiguration für passwd
RÜCKGABEWERTE¶
Der Befehl passwd gibt beim Beenden folgende Werte zurück: 0Erfolg
1
Berechtigung verweigert
2
ungültige Kombination von Optionen
3
unerwarteter Fehler, nichts wurde
verändert
4
unerwarteter Fehler, die Datei passwd
fehlt
5
Datei passwd wird benutzt, bitte nochmal
versuchen
6
ungültiges Argument für Option
SIEHE AUCH¶
chpasswd(8), passwd(5), shadow(5), usermod(8).25.05.2012 | shadow-utils 4.1.5.1 |