360 lines
13 KiB
Groff
360 lines
13 KiB
Groff
'\" t
|
|
.\" Title: passwd
|
|
.\" Author: Julianne Frances Haugh
|
|
.\" Generator: DocBook XSL Stylesheets v1.76.1 <http://docbook.sf.net/>
|
|
.\" Date: 25.05.2012
|
|
.\" Manual: Dienstprogramme f\(:ur Benutzer
|
|
.\" Source: shadow-utils 4.1.5.1
|
|
.\" Language: German
|
|
.\"
|
|
.TH "PASSWD" "1" "25.05.2012" "shadow\-utils 4\&.1\&.5\&.1" "Dienstprogramme f\(:ur Benutzer"
|
|
.\" -----------------------------------------------------------------
|
|
.\" * Define some portability stuff
|
|
.\" -----------------------------------------------------------------
|
|
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
|
.\" http://bugs.debian.org/507673
|
|
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
|
|
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
|
.ie \n(.g .ds Aq \(aq
|
|
.el .ds Aq '
|
|
.\" -----------------------------------------------------------------
|
|
.\" * set default formatting
|
|
.\" -----------------------------------------------------------------
|
|
.\" disable hyphenation
|
|
.nh
|
|
.\" disable justification (adjust text to left margin only)
|
|
.ad l
|
|
.\" -----------------------------------------------------------------
|
|
.\" * MAIN CONTENT STARTS HERE *
|
|
.\" -----------------------------------------------------------------
|
|
.SH "NAME"
|
|
passwd \- \(:andert das Passwort eines Benutzers
|
|
.SH "\(:UBERSICHT"
|
|
.HP \w'\fBpasswd\fR\ 'u
|
|
\fBpasswd\fR [\fIOptionen\fR] [\fIANMELDENAME\fR]
|
|
.SH "BESCHREIBUNG"
|
|
.PP
|
|
Der Befehl
|
|
\fBpasswd\fR
|
|
\(:andert die Passw\(:orter von Benutzerkonten\&. Ein normaler Benutzer kann nur das Passwort seines Kontos ver\(:andern, der Superuser dagegen kann die Passw\(:orter aller Konten \(:andern\&. Mit
|
|
\fBpasswd\fR
|
|
k\(:onnen auch die Informationen \(:uber das Konto und die G\(:ultigkeitsdauer des Passworts ver\(:andert werden\&.
|
|
.SS "Ver\(:andern des Passworts"
|
|
.PP
|
|
Der Benutzer wird zuerst nach seinem alten Passwort gefragt, falls eines vorhanden ist\&. Dieses Passwort wird dann verschl\(:usselt und mit dem gespeicherten Passwort verglichen\&. Der Benutzer hat nur eine Gelegenheit, das richtige Passwort einzugeben\&. Der Superuser kann diesen Schritt \(:uberspringen, um so vergessene Passw\(:orter zu \(:andern\&.
|
|
.PP
|
|
Nachdem das Passwort eingegeben wurde, werden Informationen \(:uber die G\(:ultigkeitsdauer des Passworts abgefragt, um festzustellen, ob der Benutzer das Passwort zu dieser Zeit ver\(:andern darf\&. Wenn nicht, lehnt
|
|
\fBpasswd\fR
|
|
die \(:Anderung des Passworts ab und beendet sich\&.
|
|
.PP
|
|
Der Benutzer wird dann aufgefordert, zweimal ein neues Passwort einzugeben\&. Beide Eingaben werden miteinander verglichen\&. Sie m\(:ussen \(:ubereinstimmen, damit das Passwort ge\(:andert wird\&.
|
|
.PP
|
|
Anschlie\(ssend wird das Passwort auf seine Komplexit\(:at \(:uberpr\(:uft\&. Eine allgemeine Richtlinie besagt, dass Passw\(:orter aus sechs bis acht Zeichen bestehen sollten und ein oder mehrere Zeichen aus folgenden Mengen enthalten sollten:
|
|
.sp
|
|
.RS 4
|
|
.ie n \{\
|
|
\h'-04'\(bu\h'+03'\c
|
|
.\}
|
|
.el \{\
|
|
.sp -1
|
|
.IP \(bu 2.3
|
|
.\}
|
|
Kleinbuchstaben
|
|
.RE
|
|
.sp
|
|
.RS 4
|
|
.ie n \{\
|
|
\h'-04'\(bu\h'+03'\c
|
|
.\}
|
|
.el \{\
|
|
.sp -1
|
|
.IP \(bu 2.3
|
|
.\}
|
|
Ziffern 0 bis 9
|
|
.RE
|
|
.sp
|
|
.RS 4
|
|
.ie n \{\
|
|
\h'-04'\(bu\h'+03'\c
|
|
.\}
|
|
.el \{\
|
|
.sp -1
|
|
.IP \(bu 2.3
|
|
.\}
|
|
Satzzeichen
|
|
.RE
|
|
.PP
|
|
Seien Sie vorsichtig, dass Sie nicht die standardm\(:a\(ssigen L\(:osch\- und Kill\-Zeichen des Systems eingeben\&.
|
|
\fBpasswd\fR
|
|
weist Passw\(:orter zur\(:uck, die nicht hinreichend komplex sind\&.
|
|
.SS "Hinweise zu Benutzerpassw\(:ortern"
|
|
.PP
|
|
Die Sicherheit eines Passworts h\(:angt von der St\(:arke des Verschl\(:usselungsalgorithmus und von der Gr\(:o\(sse des Schl\(:usselraums ab\&. Die hergebrachte Verschl\(:usselung auf
|
|
\fIUNIX\fR\-Systemen basiert auf dem NBS\-DES\-Algorithmus\&. Heutzutage sind neuere Verschl\(:usselungsmethoden zu empfehlen (vergleiche
|
|
\fBENCRYPT_METHOD\fR)\&. Die Gr\(:o\(sse des Schl\(:usselraums h\(:angt von der Zuf\(:alligkeit des gew\(:ahlten Passworts ab\&.
|
|
.PP
|
|
Gefahren f\(:ur die Sicherheit von Passw\(:ortern kommen gew\(:ohnlich von sorgloser Wahl oder Handhabung des Passworts\&. Daher sollten Sie kein Passwort w\(:ahlen, das in einem W\(:orterbuch auftaucht oder das aufgeschrieben werden muss\&. Das Passwort sollte somit kein echter Name, Ihr Autokennzeichen, Geburtstag oder Ihre Adresse sein\&. All das kann dazu verwendet werden, das Passwort zu erraten, und stellt daher eine Gefahr f\(:ur die Sicherheit Ihres Systems dar\&.
|
|
.PP
|
|
Ratschl\(:age, wie Sie ein sicheres Passwort w\(:ahlen, finden Sie unter http://de\&.wikipedia\&.org/wiki/Passwort#Wahl_von_sicheren_Passw\&.C3\&.B6rtern\&.
|
|
.SH "OPTIONEN"
|
|
.PP
|
|
Die Optionen, die vom Befehl
|
|
\fBpasswd\fR
|
|
unterst\(:utzt werden, sind:
|
|
.PP
|
|
\fB\-a\fR, \fB\-\-all\fR
|
|
.RS 4
|
|
Diese Option kann nur in Verbindung mit
|
|
\fB\-S\fR
|
|
verwendet werden und f\(:uhrt dazu, dass der Status aller Benutzer angezeigt wird\&.
|
|
.RE
|
|
.PP
|
|
\fB\-d\fR, \fB\-\-delete\fR
|
|
.RS 4
|
|
L\(:oscht das Passwort eines Benutzers (macht es leer)\&. Dies ist ein schneller Weg, um das Passwort eines Kontos zu deaktivieren\&. Dem Konto ist dann kein Passwort zugeordnet\&.
|
|
.RE
|
|
.PP
|
|
\fB\-e\fR, \fB\-\-expire\fR
|
|
.RS 4
|
|
L\(:asst das Passwort eines Kontos sofort verfallen\&. Im Ergebnis kann damit erreicht werden, dass ein Benutzer beim n\(:achsten Login das Passwort \(:andern muss\&.
|
|
.RE
|
|
.PP
|
|
\fB\-h\fR, \fB\-\-help\fR
|
|
.RS 4
|
|
zeigt die Hilfe an und beendet das Programm
|
|
.RE
|
|
.PP
|
|
\fB\-i\fR, \fB\-\-inactive\fR\fIINAKTIV\fR
|
|
.RS 4
|
|
Mit dieser Option wird ein Konto deaktiviert, nachdem das Passwort f\(:ur eine bestimmte Anzahl von Tagen abgelaufen ist\&. Wenn ein Benutzerkonto ein abgelaufenes Passwort f\(:ur l\(:anger als
|
|
\fIINAKTIV\fR
|
|
Tage hatte, kann sich der Benutzer nicht mehr auf diesem Konto anmelden\&.
|
|
.RE
|
|
.PP
|
|
\fB\-k\fR, \fB\-\-keep\-tokens\fR
|
|
.RS 4
|
|
Zeigt an, dass nur abgelaufene Passw\(:orter ge\(:andert werden sollen\&. Der Benutzer m\(:ochte seine g\(:ultigen Passw\(:orter unver\(:andert lassen\&.
|
|
.RE
|
|
.PP
|
|
\fB\-l\fR, \fB\-\-lock\fR
|
|
.RS 4
|
|
Sperrt das Passwort des bezeichneten Kontos\&. Die Option schaltet ein Passwort ab, indem es ihm einen Wert zuweist, der mit keinem m\(:oglichen verschl\(:usselten Wert \(:ubereinstimmen kann\&. Dies geschieht, indem ein \(Fc!\(Fo dem Passwort vorangestellt wird\&.
|
|
.sp
|
|
Beachten Sie, dass damit nicht das Konto deaktiviert wird\&. Der Benutzer kann sich immer noch mit einer anderen Authentifizierungsmethode (etwa einem SSH\-Schl\(:ussel) anmelden\&. Um ein Konto abzuschalten, sollte der Administrator
|
|
\fBusermod \-\-expiredate 1\fR
|
|
verwenden; dies setzt das Verfallsdatum des Kontos auf den 2\&. Januar 1970\&.
|
|
.sp
|
|
Benutzer mit einem gesperrten Passwort k\(:onnen dieses nicht \(:andern\&.
|
|
.RE
|
|
.PP
|
|
\fB\-n\fR, \fB\-\-mindays\fR\fIMIN_TAGE\fR
|
|
.RS 4
|
|
Setzt die Anzahl von Tagen, die mindestens zwischen zwei \(:Anderungen eines Passworts vergehen m\(:ussen, auf
|
|
\fIMIN_TAGE\fR\&. Ein Wert von Null in diesem Feld bedeutet, dass der Benutzer sein Passwort jederzeit \(:andern darf\&.
|
|
.RE
|
|
.PP
|
|
\fB\-q\fR, \fB\-\-quiet\fR
|
|
.RS 4
|
|
stiller Modus
|
|
.RE
|
|
.PP
|
|
\fB\-r\fR, \fB\-\-repository\fR\fIDEPOT\fR
|
|
.RS 4
|
|
\(:andert das Passwort im Depot
|
|
\fIDEPOT\fR
|
|
.RE
|
|
.PP
|
|
\fB\-R\fR, \fB\-\-root\fR\fICHROOT_VERZ\fR
|
|
.RS 4
|
|
f\(:uhrt die Ver\(:anderungen in dem Verzeichnis
|
|
\fICHROOT_VERZ\fR
|
|
durch und verwendet die Konfigurationsdateien aus dem Verzeichnis
|
|
\fICHROOT_VERZ\fR
|
|
.RE
|
|
.PP
|
|
\fB\-S\fR, \fB\-\-status\fR
|
|
.RS 4
|
|
Zeigt Informationen \(:uber den Kontostatus an\&. Die Statusinformation besteht aus sieben Feldern\&. Das erste Feld ist der Anmeldename des Benutzers\&. Das zweite Feld zeigt an, ob das Benutzerkonto ein gesperrtes Passwort (L), kein Passwort (NP) oder ein verwendbares Passwort hat (P)\&. Das dritte Feld zeigt das Datum der letzten \(:Anderung des Passworts an\&. Die n\(:achsten vier Felder sind das Mindestalter, das H\(:ochstalter, die Dauer der Warnung und die Dauer der Unt\(:atigkeit f\(:ur das Passwort\&. Die Zeitr\(:aume werden in Tagen ausgedr\(:uckt\&.
|
|
.RE
|
|
.PP
|
|
\fB\-u\fR, \fB\-\-unlock\fR
|
|
.RS 4
|
|
Entsperrt das bezeichnete Konto\&. Diese Option reaktiviert ein Konto wieder, indem das Passwort auf seinen alten Wert zur\(:uckgesetzt wird, den es hatte, bevor die Option
|
|
\fB\-l\fR
|
|
verwendet wurde\&.
|
|
.RE
|
|
.PP
|
|
\fB\-w\fR, \fB\-\-warndays\fR\fIWARN_TAGE\fR
|
|
.RS 4
|
|
Legt die Anzahl der Tage fest, an denen der Benutzer eine Warnung erh\(:alt, bevor sein Passwort ung\(:ultig wird\&. Die Option
|
|
\fIWARN_TAGE\fR
|
|
bezeichnet die Anzahl der Tage, f\(:ur die ein Benutzer vor Verfall seines Passworts gewarnt wird\&.
|
|
.RE
|
|
.PP
|
|
\fB\-x\fR, \fB\-\-maxdays\fR\fIMAX_TAGE\fR
|
|
.RS 4
|
|
Bestimmt die maximale Anzahl von Tagen, die das Passwort g\(:ultig bleibt\&. Nach
|
|
\fIMAX_TAGE\fR
|
|
Tagen muss das Passwort ge\(:andert werden\&.
|
|
.RE
|
|
.SH "WARNUNGEN"
|
|
.PP
|
|
Die Komplexit\(:at der Passwortpr\(:ufung kann sich auf verschiedenen Systemen unterscheiden\&. Der Benutzer wird angehalten, ein m\(:oglichst komplexes, von ihm aber gut zu verwendendes Passwort zu w\(:ahlen\&.
|
|
.PP
|
|
Benutzer k\(:onnen unter Umst\(:anden ihr Passwort nicht \(:andern, wenn auf dem System NIS aktiviert ist, sie aber nicht am NIS\-Server angemeldet sind\&.
|
|
.SH "KONFIGURATION"
|
|
.PP
|
|
Die folgenden Konfigurationsvariablen in
|
|
/etc/login\&.defs
|
|
beeinflussen das Verhalten dieses Werkzeugs:
|
|
.PP
|
|
\fBENCRYPT_METHOD\fR (Zeichenkette)
|
|
.RS 4
|
|
Damit wird der standardm\(:a\(ssige Verschl\(:usselungsalgorithmus, mit dem Passw\(:orter verschl\(:usselt werden, bestimmt (soweit nicht in der Befehlszeile ein Algorithmus angegeben wird)\&.
|
|
.sp
|
|
Ihm kann einer der folgenden Wert zugewiesen werden:
|
|
\fIDES\fR
|
|
(default),
|
|
\fIMD5\fR, \fISHA256\fR, \fISHA512\fR\&.
|
|
.sp
|
|
Hinweis: Dieser Parameter \(:uberschreibt die Variable
|
|
\fBMD5_CRYPT_ENAB\fR\&.
|
|
.RE
|
|
.PP
|
|
\fBMD5_CRYPT_ENAB\fR (boolesch)
|
|
.RS 4
|
|
Legt fest, ob Passw\(:orter mit dem auf MD5 beruhenden Algorithmus verschl\(:usselt werden\&. Falls diesem Wert
|
|
\fIyes\fR
|
|
zugewiesen ist, werden neue Passw\(:orter mit dem auf MD5 beruhenden Algorithmus verschl\(:usselt, der zu dem in der aktuellen Ver\(:offentlichung von FreeBSD eingesetzten Algorithmus kompatibel ist\&. Passw\(:orter k\(:onnen dann beliebig lang sein, auch die Salt\-Zeichenketten sind l\(:anger\&. Setzen Sie diesen Wert auf
|
|
\fIno\fR, wenn Sie verschl\(:usselte Passw\(:orter auf ein anderes System kopieren m\(:ochten, das den neuen Algorithmus nicht versteht\&. Der Standardwert ist
|
|
\fIno\fR\&.
|
|
.sp
|
|
Dieser Variable geht die Variable
|
|
\fBENCRYPT_METHOD\fR
|
|
und eine Option auf der Befehlszeile, mit der der Verschl\(:usselungsalgorithmus bestimmt wird, vor\&.
|
|
.sp
|
|
Der Einsatz dieser Variable ist veraltet\&. Sie sollten
|
|
\fBENCRYPT_METHOD\fR
|
|
verwenden\&.
|
|
.RE
|
|
.PP
|
|
\fBOBSCURE_CHECKS_ENAB\fR (boolesch)
|
|
.RS 4
|
|
Aktiviert zus\(:atzliche Tests bei der Ver\(:anderung eines Passworts\&.
|
|
.RE
|
|
.PP
|
|
\fBPASS_ALWAYS_WARN\fR (boolesch)
|
|
.RS 4
|
|
weist auf schwache Passw\(:orter hin (aber l\(:asst sie zu), falls Sie root sind
|
|
.RE
|
|
.PP
|
|
\fBPASS_CHANGE_TRIES\fR (Zahl)
|
|
.RS 4
|
|
maximale Anzahl von Versuchen, ein Passwort zu \(:andern, wenn dies wegen zu geringer St\(:arke des gew\(:ahlten Passworts abgelehnt wurde
|
|
.RE
|
|
.PP
|
|
\fBPASS_MAX_LEN\fR (Zahl), \fBPASS_MIN_LEN\fR (Zahl)
|
|
.RS 4
|
|
Anzahl der von crypt() ber\(:ucksichtigten Zeichen des Passworts\&. Standardm\(:a\(ssig ist
|
|
\fBPASS_MAX_LEN\fR
|
|
8\&. Diese Option wird ignoriert, wenn
|
|
\fBMD5_CRYPT_ENAB\fR
|
|
auf
|
|
\fIyes\fR
|
|
gesetzt ist\&.
|
|
.RE
|
|
.PP
|
|
\fBSHA_CRYPT_MIN_ROUNDS\fR (Zahl), \fBSHA_CRYPT_MAX_ROUNDS\fR (Zahl)
|
|
.RS 4
|
|
Wenn
|
|
\fBENCRYPT_METHOD\fR
|
|
auf
|
|
\fISHA256\fR
|
|
oder
|
|
\fISHA512\fR
|
|
gesetzt ist, legt dies die Anzahl der Runden von SHA fest, die standardm\(:a\(ssig vom Verschl\(:usselungsalgorithmus verwendet werden (falls die Anzahl der Runden nicht auf der Befehlszeile angegeben wird)\&.
|
|
.sp
|
|
Je mehr Runden Sie definieren, umso schwieriger ist es, das Passwort mit sturem Durchprobieren (brute force) zu knacken; umso mehr Rechenleistung wird jedoch auch f\(:ur die Anmeldung eines Benutzers ben\(:otigt\&.
|
|
.sp
|
|
Falls Sie nichts angeben, wird libc die Standardanzahl der Runden festlegen (5000)\&.
|
|
.sp
|
|
Die Werte m\(:ussen zwischen 1000\-999\&.999\&.999 liegen\&.
|
|
.sp
|
|
Falls nur der Wert f\(:ur
|
|
\fBSHA_CRYPT_MIN_ROUNDS\fR
|
|
oder
|
|
\fBSHA_CRYPT_MAX_ROUNDS\fR
|
|
festgelegt wird, wird dieser Wert verwendet\&.
|
|
.sp
|
|
Falls
|
|
\fBSHA_CRYPT_MIN_ROUNDS\fR
|
|
>
|
|
\fBSHA_CRYPT_MAX_ROUNDS\fR, wird der h\(:ohere Wert verwendet\&.
|
|
.RE
|
|
.SH "DATEIEN"
|
|
.PP
|
|
/etc/passwd
|
|
.RS 4
|
|
Informationen zu den Benutzerkonten
|
|
.RE
|
|
.PP
|
|
/etc/shadow
|
|
.RS 4
|
|
verschl\(:usselte Informationen zu den Benutzerkonten
|
|
.RE
|
|
.PP
|
|
/etc/login\&.defs
|
|
.RS 4
|
|
Konfiguration der Shadow\-Passwort\-Werkzeugsammlung
|
|
.RE
|
|
.SH "R\(:UCKGABEWERTE"
|
|
.PP
|
|
Der Befehl
|
|
\fBpasswd\fR
|
|
gibt beim Beenden folgende Werte zur\(:uck:
|
|
.PP
|
|
\fI0\fR
|
|
.RS 4
|
|
Erfolg
|
|
.RE
|
|
.PP
|
|
\fI1\fR
|
|
.RS 4
|
|
Berechtigung verweigert
|
|
.RE
|
|
.PP
|
|
\fI2\fR
|
|
.RS 4
|
|
ung\(:ultige Kombination von Optionen
|
|
.RE
|
|
.PP
|
|
\fI3\fR
|
|
.RS 4
|
|
unerwarteter Fehler, nichts wurde ver\(:andert
|
|
.RE
|
|
.PP
|
|
\fI4\fR
|
|
.RS 4
|
|
unerwarteter Fehler, die Datei
|
|
passwd
|
|
fehlt
|
|
.RE
|
|
.PP
|
|
\fI5\fR
|
|
.RS 4
|
|
Datei
|
|
passwd
|
|
wird benutzt, bitte nochmal versuchen
|
|
.RE
|
|
.PP
|
|
\fI6\fR
|
|
.RS 4
|
|
ung\(:ultiges Argument f\(:ur Option
|
|
.RE
|
|
.SH "SIEHE AUCH"
|
|
.PP
|
|
\fBchpasswd\fR(8),
|
|
\fBpasswd\fR(5),
|
|
\fBshadow\fR(5),
|
|
\fBlogin.defs\fR(5),\fBusermod\fR(8)\&.
|