Files
shadow/man/de/man1/passwd.1
T
2013-07-27 18:42:08 +02:00

360 lines
13 KiB
Groff

'\" t
.\" Title: passwd
.\" Author: Julianne Frances Haugh
.\" Generator: DocBook XSL Stylesheets v1.76.1 <http://docbook.sf.net/>
.\" Date: 25.05.2012
.\" Manual: Dienstprogramme f\(:ur Benutzer
.\" Source: shadow-utils 4.1.5.1
.\" Language: German
.\"
.TH "PASSWD" "1" "25.05.2012" "shadow\-utils 4\&.1\&.5\&.1" "Dienstprogramme f\(:ur Benutzer"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NAME"
passwd \- \(:andert das Passwort eines Benutzers
.SH "\(:UBERSICHT"
.HP \w'\fBpasswd\fR\ 'u
\fBpasswd\fR [\fIOptionen\fR] [\fIANMELDENAME\fR]
.SH "BESCHREIBUNG"
.PP
Der Befehl
\fBpasswd\fR
\(:andert die Passw\(:orter von Benutzerkonten\&. Ein normaler Benutzer kann nur das Passwort seines Kontos ver\(:andern, der Superuser dagegen kann die Passw\(:orter aller Konten \(:andern\&. Mit
\fBpasswd\fR
k\(:onnen auch die Informationen \(:uber das Konto und die G\(:ultigkeitsdauer des Passworts ver\(:andert werden\&.
.SS "Ver\(:andern des Passworts"
.PP
Der Benutzer wird zuerst nach seinem alten Passwort gefragt, falls eines vorhanden ist\&. Dieses Passwort wird dann verschl\(:usselt und mit dem gespeicherten Passwort verglichen\&. Der Benutzer hat nur eine Gelegenheit, das richtige Passwort einzugeben\&. Der Superuser kann diesen Schritt \(:uberspringen, um so vergessene Passw\(:orter zu \(:andern\&.
.PP
Nachdem das Passwort eingegeben wurde, werden Informationen \(:uber die G\(:ultigkeitsdauer des Passworts abgefragt, um festzustellen, ob der Benutzer das Passwort zu dieser Zeit ver\(:andern darf\&. Wenn nicht, lehnt
\fBpasswd\fR
die \(:Anderung des Passworts ab und beendet sich\&.
.PP
Der Benutzer wird dann aufgefordert, zweimal ein neues Passwort einzugeben\&. Beide Eingaben werden miteinander verglichen\&. Sie m\(:ussen \(:ubereinstimmen, damit das Passwort ge\(:andert wird\&.
.PP
Anschlie\(ssend wird das Passwort auf seine Komplexit\(:at \(:uberpr\(:uft\&. Eine allgemeine Richtlinie besagt, dass Passw\(:orter aus sechs bis acht Zeichen bestehen sollten und ein oder mehrere Zeichen aus folgenden Mengen enthalten sollten:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Kleinbuchstaben
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ziffern 0 bis 9
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Satzzeichen
.RE
.PP
Seien Sie vorsichtig, dass Sie nicht die standardm\(:a\(ssigen L\(:osch\- und Kill\-Zeichen des Systems eingeben\&.
\fBpasswd\fR
weist Passw\(:orter zur\(:uck, die nicht hinreichend komplex sind\&.
.SS "Hinweise zu Benutzerpassw\(:ortern"
.PP
Die Sicherheit eines Passworts h\(:angt von der St\(:arke des Verschl\(:usselungsalgorithmus und von der Gr\(:o\(sse des Schl\(:usselraums ab\&. Die hergebrachte Verschl\(:usselung auf
\fIUNIX\fR\-Systemen basiert auf dem NBS\-DES\-Algorithmus\&. Heutzutage sind neuere Verschl\(:usselungsmethoden zu empfehlen (vergleiche
\fBENCRYPT_METHOD\fR)\&. Die Gr\(:o\(sse des Schl\(:usselraums h\(:angt von der Zuf\(:alligkeit des gew\(:ahlten Passworts ab\&.
.PP
Gefahren f\(:ur die Sicherheit von Passw\(:ortern kommen gew\(:ohnlich von sorgloser Wahl oder Handhabung des Passworts\&. Daher sollten Sie kein Passwort w\(:ahlen, das in einem W\(:orterbuch auftaucht oder das aufgeschrieben werden muss\&. Das Passwort sollte somit kein echter Name, Ihr Autokennzeichen, Geburtstag oder Ihre Adresse sein\&. All das kann dazu verwendet werden, das Passwort zu erraten, und stellt daher eine Gefahr f\(:ur die Sicherheit Ihres Systems dar\&.
.PP
Ratschl\(:age, wie Sie ein sicheres Passwort w\(:ahlen, finden Sie unter http://de\&.wikipedia\&.org/wiki/Passwort#Wahl_von_sicheren_Passw\&.C3\&.B6rtern\&.
.SH "OPTIONEN"
.PP
Die Optionen, die vom Befehl
\fBpasswd\fR
unterst\(:utzt werden, sind:
.PP
\fB\-a\fR, \fB\-\-all\fR
.RS 4
Diese Option kann nur in Verbindung mit
\fB\-S\fR
verwendet werden und f\(:uhrt dazu, dass der Status aller Benutzer angezeigt wird\&.
.RE
.PP
\fB\-d\fR, \fB\-\-delete\fR
.RS 4
L\(:oscht das Passwort eines Benutzers (macht es leer)\&. Dies ist ein schneller Weg, um das Passwort eines Kontos zu deaktivieren\&. Dem Konto ist dann kein Passwort zugeordnet\&.
.RE
.PP
\fB\-e\fR, \fB\-\-expire\fR
.RS 4
L\(:asst das Passwort eines Kontos sofort verfallen\&. Im Ergebnis kann damit erreicht werden, dass ein Benutzer beim n\(:achsten Login das Passwort \(:andern muss\&.
.RE
.PP
\fB\-h\fR, \fB\-\-help\fR
.RS 4
zeigt die Hilfe an und beendet das Programm
.RE
.PP
\fB\-i\fR, \fB\-\-inactive\fR\fIINAKTIV\fR
.RS 4
Mit dieser Option wird ein Konto deaktiviert, nachdem das Passwort f\(:ur eine bestimmte Anzahl von Tagen abgelaufen ist\&. Wenn ein Benutzerkonto ein abgelaufenes Passwort f\(:ur l\(:anger als
\fIINAKTIV\fR
Tage hatte, kann sich der Benutzer nicht mehr auf diesem Konto anmelden\&.
.RE
.PP
\fB\-k\fR, \fB\-\-keep\-tokens\fR
.RS 4
Zeigt an, dass nur abgelaufene Passw\(:orter ge\(:andert werden sollen\&. Der Benutzer m\(:ochte seine g\(:ultigen Passw\(:orter unver\(:andert lassen\&.
.RE
.PP
\fB\-l\fR, \fB\-\-lock\fR
.RS 4
Sperrt das Passwort des bezeichneten Kontos\&. Die Option schaltet ein Passwort ab, indem es ihm einen Wert zuweist, der mit keinem m\(:oglichen verschl\(:usselten Wert \(:ubereinstimmen kann\&. Dies geschieht, indem ein \(Fc!\(Fo dem Passwort vorangestellt wird\&.
.sp
Beachten Sie, dass damit nicht das Konto deaktiviert wird\&. Der Benutzer kann sich immer noch mit einer anderen Authentifizierungsmethode (etwa einem SSH\-Schl\(:ussel) anmelden\&. Um ein Konto abzuschalten, sollte der Administrator
\fBusermod \-\-expiredate 1\fR
verwenden; dies setzt das Verfallsdatum des Kontos auf den 2\&. Januar 1970\&.
.sp
Benutzer mit einem gesperrten Passwort k\(:onnen dieses nicht \(:andern\&.
.RE
.PP
\fB\-n\fR, \fB\-\-mindays\fR\fIMIN_TAGE\fR
.RS 4
Setzt die Anzahl von Tagen, die mindestens zwischen zwei \(:Anderungen eines Passworts vergehen m\(:ussen, auf
\fIMIN_TAGE\fR\&. Ein Wert von Null in diesem Feld bedeutet, dass der Benutzer sein Passwort jederzeit \(:andern darf\&.
.RE
.PP
\fB\-q\fR, \fB\-\-quiet\fR
.RS 4
stiller Modus
.RE
.PP
\fB\-r\fR, \fB\-\-repository\fR\fIDEPOT\fR
.RS 4
\(:andert das Passwort im Depot
\fIDEPOT\fR
.RE
.PP
\fB\-R\fR, \fB\-\-root\fR\fICHROOT_VERZ\fR
.RS 4
f\(:uhrt die Ver\(:anderungen in dem Verzeichnis
\fICHROOT_VERZ\fR
durch und verwendet die Konfigurationsdateien aus dem Verzeichnis
\fICHROOT_VERZ\fR
.RE
.PP
\fB\-S\fR, \fB\-\-status\fR
.RS 4
Zeigt Informationen \(:uber den Kontostatus an\&. Die Statusinformation besteht aus sieben Feldern\&. Das erste Feld ist der Anmeldename des Benutzers\&. Das zweite Feld zeigt an, ob das Benutzerkonto ein gesperrtes Passwort (L), kein Passwort (NP) oder ein verwendbares Passwort hat (P)\&. Das dritte Feld zeigt das Datum der letzten \(:Anderung des Passworts an\&. Die n\(:achsten vier Felder sind das Mindestalter, das H\(:ochstalter, die Dauer der Warnung und die Dauer der Unt\(:atigkeit f\(:ur das Passwort\&. Die Zeitr\(:aume werden in Tagen ausgedr\(:uckt\&.
.RE
.PP
\fB\-u\fR, \fB\-\-unlock\fR
.RS 4
Entsperrt das bezeichnete Konto\&. Diese Option reaktiviert ein Konto wieder, indem das Passwort auf seinen alten Wert zur\(:uckgesetzt wird, den es hatte, bevor die Option
\fB\-l\fR
verwendet wurde\&.
.RE
.PP
\fB\-w\fR, \fB\-\-warndays\fR\fIWARN_TAGE\fR
.RS 4
Legt die Anzahl der Tage fest, an denen der Benutzer eine Warnung erh\(:alt, bevor sein Passwort ung\(:ultig wird\&. Die Option
\fIWARN_TAGE\fR
bezeichnet die Anzahl der Tage, f\(:ur die ein Benutzer vor Verfall seines Passworts gewarnt wird\&.
.RE
.PP
\fB\-x\fR, \fB\-\-maxdays\fR\fIMAX_TAGE\fR
.RS 4
Bestimmt die maximale Anzahl von Tagen, die das Passwort g\(:ultig bleibt\&. Nach
\fIMAX_TAGE\fR
Tagen muss das Passwort ge\(:andert werden\&.
.RE
.SH "WARNUNGEN"
.PP
Die Komplexit\(:at der Passwortpr\(:ufung kann sich auf verschiedenen Systemen unterscheiden\&. Der Benutzer wird angehalten, ein m\(:oglichst komplexes, von ihm aber gut zu verwendendes Passwort zu w\(:ahlen\&.
.PP
Benutzer k\(:onnen unter Umst\(:anden ihr Passwort nicht \(:andern, wenn auf dem System NIS aktiviert ist, sie aber nicht am NIS\-Server angemeldet sind\&.
.SH "KONFIGURATION"
.PP
Die folgenden Konfigurationsvariablen in
/etc/login\&.defs
beeinflussen das Verhalten dieses Werkzeugs:
.PP
\fBENCRYPT_METHOD\fR (Zeichenkette)
.RS 4
Damit wird der standardm\(:a\(ssige Verschl\(:usselungsalgorithmus, mit dem Passw\(:orter verschl\(:usselt werden, bestimmt (soweit nicht in der Befehlszeile ein Algorithmus angegeben wird)\&.
.sp
Ihm kann einer der folgenden Wert zugewiesen werden:
\fIDES\fR
(default),
\fIMD5\fR, \fISHA256\fR, \fISHA512\fR\&.
.sp
Hinweis: Dieser Parameter \(:uberschreibt die Variable
\fBMD5_CRYPT_ENAB\fR\&.
.RE
.PP
\fBMD5_CRYPT_ENAB\fR (boolesch)
.RS 4
Legt fest, ob Passw\(:orter mit dem auf MD5 beruhenden Algorithmus verschl\(:usselt werden\&. Falls diesem Wert
\fIyes\fR
zugewiesen ist, werden neue Passw\(:orter mit dem auf MD5 beruhenden Algorithmus verschl\(:usselt, der zu dem in der aktuellen Ver\(:offentlichung von FreeBSD eingesetzten Algorithmus kompatibel ist\&. Passw\(:orter k\(:onnen dann beliebig lang sein, auch die Salt\-Zeichenketten sind l\(:anger\&. Setzen Sie diesen Wert auf
\fIno\fR, wenn Sie verschl\(:usselte Passw\(:orter auf ein anderes System kopieren m\(:ochten, das den neuen Algorithmus nicht versteht\&. Der Standardwert ist
\fIno\fR\&.
.sp
Dieser Variable geht die Variable
\fBENCRYPT_METHOD\fR
und eine Option auf der Befehlszeile, mit der der Verschl\(:usselungsalgorithmus bestimmt wird, vor\&.
.sp
Der Einsatz dieser Variable ist veraltet\&. Sie sollten
\fBENCRYPT_METHOD\fR
verwenden\&.
.RE
.PP
\fBOBSCURE_CHECKS_ENAB\fR (boolesch)
.RS 4
Aktiviert zus\(:atzliche Tests bei der Ver\(:anderung eines Passworts\&.
.RE
.PP
\fBPASS_ALWAYS_WARN\fR (boolesch)
.RS 4
weist auf schwache Passw\(:orter hin (aber l\(:asst sie zu), falls Sie root sind
.RE
.PP
\fBPASS_CHANGE_TRIES\fR (Zahl)
.RS 4
maximale Anzahl von Versuchen, ein Passwort zu \(:andern, wenn dies wegen zu geringer St\(:arke des gew\(:ahlten Passworts abgelehnt wurde
.RE
.PP
\fBPASS_MAX_LEN\fR (Zahl), \fBPASS_MIN_LEN\fR (Zahl)
.RS 4
Anzahl der von crypt() ber\(:ucksichtigten Zeichen des Passworts\&. Standardm\(:a\(ssig ist
\fBPASS_MAX_LEN\fR
8\&. Diese Option wird ignoriert, wenn
\fBMD5_CRYPT_ENAB\fR
auf
\fIyes\fR
gesetzt ist\&.
.RE
.PP
\fBSHA_CRYPT_MIN_ROUNDS\fR (Zahl), \fBSHA_CRYPT_MAX_ROUNDS\fR (Zahl)
.RS 4
Wenn
\fBENCRYPT_METHOD\fR
auf
\fISHA256\fR
oder
\fISHA512\fR
gesetzt ist, legt dies die Anzahl der Runden von SHA fest, die standardm\(:a\(ssig vom Verschl\(:usselungsalgorithmus verwendet werden (falls die Anzahl der Runden nicht auf der Befehlszeile angegeben wird)\&.
.sp
Je mehr Runden Sie definieren, umso schwieriger ist es, das Passwort mit sturem Durchprobieren (brute force) zu knacken; umso mehr Rechenleistung wird jedoch auch f\(:ur die Anmeldung eines Benutzers ben\(:otigt\&.
.sp
Falls Sie nichts angeben, wird libc die Standardanzahl der Runden festlegen (5000)\&.
.sp
Die Werte m\(:ussen zwischen 1000\-999\&.999\&.999 liegen\&.
.sp
Falls nur der Wert f\(:ur
\fBSHA_CRYPT_MIN_ROUNDS\fR
oder
\fBSHA_CRYPT_MAX_ROUNDS\fR
festgelegt wird, wird dieser Wert verwendet\&.
.sp
Falls
\fBSHA_CRYPT_MIN_ROUNDS\fR
>
\fBSHA_CRYPT_MAX_ROUNDS\fR, wird der h\(:ohere Wert verwendet\&.
.RE
.SH "DATEIEN"
.PP
/etc/passwd
.RS 4
Informationen zu den Benutzerkonten
.RE
.PP
/etc/shadow
.RS 4
verschl\(:usselte Informationen zu den Benutzerkonten
.RE
.PP
/etc/login\&.defs
.RS 4
Konfiguration der Shadow\-Passwort\-Werkzeugsammlung
.RE
.SH "R\(:UCKGABEWERTE"
.PP
Der Befehl
\fBpasswd\fR
gibt beim Beenden folgende Werte zur\(:uck:
.PP
\fI0\fR
.RS 4
Erfolg
.RE
.PP
\fI1\fR
.RS 4
Berechtigung verweigert
.RE
.PP
\fI2\fR
.RS 4
ung\(:ultige Kombination von Optionen
.RE
.PP
\fI3\fR
.RS 4
unerwarteter Fehler, nichts wurde ver\(:andert
.RE
.PP
\fI4\fR
.RS 4
unerwarteter Fehler, die Datei
passwd
fehlt
.RE
.PP
\fI5\fR
.RS 4
Datei
passwd
wird benutzt, bitte nochmal versuchen
.RE
.PP
\fI6\fR
.RS 4
ung\(:ultiges Argument f\(:ur Option
.RE
.SH "SIEHE AUCH"
.PP
\fBchpasswd\fR(8),
\fBpasswd\fR(5),
\fBshadow\fR(5),
\fBlogin.defs\fR(5),\fBusermod\fR(8)\&.