Syntax

passwd [-f|-s] [Name]
passwd [-g] [-r|RGruppe
passwd [-xmax] [-nmin] [-wwarn] [-iinactName
passwd {-l|-u|-d|-SName

Beschreibung

passwd wechselt Passwörter für User- und Gruppenaccounts. Ein Normaluser darf nur sein Passwort ändern, der Superuser darf die Passwörter aller Accounts ändern. Der Administrator einer Gruppe darf das Passwort dieser Gruppe ändern. passwd kann auch die Account-Informationen wie Kommentar, Loginshell oder Passwort-Auslaufzeiten und -intervalle ändern.

Passwortwechsel

Ein Normaluser wird zunächst nach seinem alten Passwort gefragt, wenn er eins hatte. Er hat nur einen Versuch, das alte Passwort richtig einzugeben. Der Superuser wird nicht nach dem alten Passwort gefragt, so daß er vergessene Passwörter ändern kann.

Nachdem das alte Passwort überprüft und für richtig befunden wurde, wird die Passwort-Alter-Information aus /etc/shadow überprüft, um festzustellen, ob ein User zur gegebenen Zeit überhaupt sein Passwort ändern darf. Wenn nicht, beendet sich passwd.

Der User wird dann aufgefordert, ein neues Passwort einzugeben. Dieses Passwort wird dann auf Schwächen hin überprüft. Als eine generelle Anforderung gilt hierbei, daß Passwörter 6 bis 8 Zeichen lang sein sollten und eine oder mehrere Elemente aus den folgenden Mengen enthalten sollte:

  • Kleinbuchstaben
  • Großbuchstaben
  • Ziffern
  • Punktierungszeichen

passwd wird einem Normaluser alle Passwörter ablehnen, die nicht mindestens zwei der genannten Kriterien erfüllen.

Wenn das Passwort akzeptiert wurde, muß es ein zweites Mal eingegeben werden, um zu verhindern, daß bei der Eingabe ungewollte Tippfehler übersehen wurden. Nur wenn beide Eingaben identisch waren, wird das Passwort tatsächlich gewechselt.

Gruppenpasswörter

Wenn die -g Option angegeben wurde, wird das Passwort der angegebenen Gruppe gewechselt. Der ausführende User muß entweder der Superuser oder der Verwalter der Gruppe sein, deren Passwort geändert werden soll. Das alte Gruppenpasswort wird nicht abgefragt. Die -r Option in Zusammenhang mit der -g Option löscht das Passwort der Gruppe. Die -R Option dagegen erstellt einen ungültigen Passworteintrag und sperrt so die Möglichkeit für Nichtmitglieder der Gruppe, sich mit newgrp in ein Mitglied zu verwandeln.

Passwort Auslauf-Informationen

Der Superuser darf mit den Optionen -x-n-w, und -i die Passwort Auslaufzeiten und -intervalle verändern. Die -x Option setzt die Maximale Anzahl von Tagen, die ein Passwort gültig bleibt. Nach max Tagen wird verlangt, das Passwort zu wechseln. Die -n Option gibt die Anzahl der Tage an, vor deren Ablauf ein Passwort nicht geändert werden darf. Mit der -w Option werden die Anzahl der Tage angegeben, die vor dem Ablauf der Gültigkeit eines Passworts als Warnzeit für den User verwendet werden. Mit der -i Option wird die Pufferzeit in Tagen eingestellt, die das Passwort nach dem Ablaufdatum noch gültig bleibt.

Accountwartung

Useraccounts können mit -l (lock) und -u (unlock) gesperrt und wieder geöffnet werden. Die -l Option sperrt den Account, indem das Passwort dergestalt verändert wird, daß es keinen möglichen verschlüsselten Wert mehr darstellt. Mit -u wird ein gesperrter Account wieder freigegeben, indem das ursprüngliche Passwort wieder hergestellt wird.

Der Status des Accounts kann mit der -S Option abgefragt werden. Die Statusinformation besteht aus sechs Teilen. Der erste Teil zeigt, ob der Useraccount gesperrt (L) ist, ein gültiges Passwort hat (P) oder kein Passwort hat (NP). Der zweite Teil zeigt das Datum des letzten Passwortwechsels. Die nächsten vier Teile zeigen Minimales Alter, Maximales Alter, Warnzeit und Pufferzeit für das Passwort.

Einschränkungen

Eventuell werden nicht alle Optionen auf allen Systemen unterstützt. Die Sicherheitsüberprüfung der Passwörter kann von System zu System verschieden sein.

Dateien

/etc/passwd – Useraccount Informationen
/etc/shadow – Sichere Useraccount Informationen

Siehe auch

passwd(3) , shadow(3) , group(5) , passwd(5)

Autor

Julianne Frances Haugh (jfh@bga.com)