PASSWD(1) PASSWD(1)
NAZWA
passwd - zmienia hasło użytkownika
SKŁADNIA
passwd [-f|-s] [nazwa]
passwd [-g] [-r|R] grupa
passwd [-x max] [-n min] [-w ostrzeż] [-i nieakt] nazwa
passwd {-l|-u|-d|-S} nazwa
OPIS
passwd zmienia hasła kont użytkowników i grup. Zwykły
użytkownik może zmienić wyłącznie hasło własnego konta,
superużytkownik może zmieniać hasła dowolnych kont.
Administrator grupy może zmienić hasło tej grupy. passwd
zmienia także informacje o koncie, takie jak pełna nazwa
użytkownika, jego powłoka zgłoszeniowa (logowania) czy
daty i interwały dotyczące ważności hasła.
Zmiany hasła
Na początku użytkownik pytany jest o stare, dotychczasowe
hasło, jeśli takie istnieje. Hasło to jest kodowane i
porównywane z przechowywanym hasłem. Użytkownik ma tylko
jedną próbę na wprowadzenie poprawnego hasła.
Superużytkownikowi zezwala się na pominięcie tego kroku,
zatem mogą być zmienione hasła, których zapomniano.
Po wprowadzeniu hasła, sprawdzana jest informacja o jego
wieku, by stwierdzić czy użytkownikowi wolno w danym cza
sie zmienić hasło. Jeżeli nie, to passwd odmawia zmiany
hasła i kończy pracę.
Następnie użytkownik proszony jest o nowe, zastępujące
dotychczasowe, hasło Hasło podlega sprawdzeniu jego
zawiłości. Jako ogólną wskazówką można podać, że hasła
powinny składać się z 6 do 8 znaków, zawierając po jednym
lub więcej znaków z każdej z poniższych kategorii:
małe litery alfabetu
duże litery alfabetu
cyfry od 0 do 9
znaki interpunkcyjne
Należy uważać, by nie użyć domyślnych systemowych znaków
akcji erase lub kill. passwd odrzuci każde niedostate
cznie skomplikowane hasło.
Jeśli hasło zostanie przyjęte, to passwd prosi o jego
powtórzenie i porównuje drugi wpis z pierwszym. Oba wpisy
muszą być takie same by hasło zostało zmienione.
1
PASSWD(1) PASSWD(1)
Hasła grup
Jeżeli posłużono się opcją -g, to zmieniane jest hasło
podanej grupy. Użytkownik powinien być albo
superużytkownikiem albo administratorem tej grupy. Nie
występuje pytanie o bieżące hasło grupy. Do usuwania
bieżącego hasła danej grupy służy opcja -g w połączeniu z
-r. Pozwala to na dostęp do grupy tylko jej członkom.
Opcja -R w połączeniu z -g ogranicza dostęp do grupy
wszystkim użytkownikom.
Informacja o ważności konta
Superużytkownik może zmieniać informację o wieku konta
posługując się opcjami -x, -n, -w oraz -i. Opcja -x służy
do ustawiania maksymalnej liczby dni, przez jakie hasło
pozostaje ważne. Po upływie max dni, hasło musi być
zmienione. Opcja -n ustawia minimalną liczbę dni, jakie
muszą upłynąć zanim hasło będzie mogło być zmienione.
Użytkownik nie otrzyma zezwolenia na zmianę hasła przed
upływem min dni. Opcja -w służy do ustawienia liczby dni
przed upływem terminu ważności hasła, przez które
użytkownik będzie otrzymywał ostrzeżenie mówiące mu, ile
dni pozostało do tej daty. Ostrzeżenia zaczną pojawiać się
ostrzeż dni przed upływem ważności hasła. Opcja -i
(nieaktywność) służy do wyłączania konta po upływie
zadanej liczby dni po wygaśnięciu hasła. Po upływie
nieakt dni od przeterminowania hasła użytkownik nie może
już korzystać z konta.
Utrzymywanie i konserwacja konta
Konta użytkowników mogą być blokowane i odblokowywane przy
pomocy flag -l i -u. Opcja -l wyłącza konto zmieniając
jego hasło na wartość nieodpowiadającą żadnemu możliwemu
zakodowanemu hasłu. Opcja -u ponownie udostępnia konto
przywracając uprzednią wartość hasła.
Stan konta można uzyskać przy pomocy opcji -S. Informacja
o stanie składa się z 6 części. Pierwsza wskazuje, czy
konto użytkownika jest zablokowane (L) (locked), nie posi
ada hasła (NP) (no password) lub ma funkcjonalne hasło (P)
(password). Druga część podaje datę ostatniej zmiany
hasła. następne cztery to minimalny wiek, maksymalny
wiek, okres ostrzegania i okres nieaktywności hasła.
Podpowiedzi dotyczące haseł użytkownika
Bezpieczeństwo hasła zależy od siły algorytmu kodującego
oraz rozmiaru klucza. Metoda kodowania używana w Systemie
UNIX oparta jest o algorytm NBS DES i jest bardzo bez
pieczna. Rozmiar klucza zależy od losowości wybranego
hasła.
Naruszenia bezpieczeństwa haseł wynikają zwykle z
beztroski przy wyborze lub przechowywaniu hasła. Z tego
powodu należy wybrać hasło nie występujące w słowniku.
Hasło nie powinno też być poprawną nazwą, imieniem,
2
PASSWD(1) PASSWD(1)
nazwiskiem, numerem prawa jazdy, datą urodzenia czy ele
mentem adresu. Wszystkie z powyższych mogą być użyte do
odgadnięcia hasła i naruszenia bezpieczeństwa systemu.
Hasło musi być łatwe do zapamiętania, tak by nie być zmus
zonym do jego zapisywania na kartce. Można to osiągnąć
sklejając ze sobą dwa krótkie słowa, ze wstawionym
pomiędzy nie znakiem specjalnym lub cyfrą. Na przykład,
Pass%word, Lew7konia.
Inna metoda konstrukcji hasła polega na wyborze łatwego do
zapamiętania zdania (np. z literatury) i wyborze pierwszej
bądź ostatniej litery każdego wyrazu. Przykładem tego
jest
Ask not for whom the bell tolls.
co daje
An4wtbt,
albo też
A czy znasz Ty, bracie młody
co daje
A3zTbm.
W zasadzie możesz być pewien, że niewielu crackerów będzie
mieć takie hasło w swoim słowniku. Powinieneś jednak
wybrać własną metodę konstrukcji haseł a nie polegać
wyłącznie na opisanych tutaj.
Uwagi o hasłach grup
Hasła grup są nieodłącznym problemem bezpieczeństwa, gdyż
do ich znajomości uprawniona jest więcej niż jedna osoba.
Grupy są jednak użytecznym narzędziem pozwalającym na
współpracę między różnymi użytkownikami.
PRZESTROGI
Mogą nie być obsługiwane wszystkie opcje. Sprawdzanie
złożoności hasła może różnić się w różnych instalacjach.
Zachęca się użytkownika do wyboru tak skomplikowanego
hasła, z jakim będzie mu wygodnie. Użytkownicy mogą nie
móc zmienić hasła w systemie przy włączonym NIS, jeśli nie
są zalogowani do serwera NIS.
PLIKI
/etc/passwd - informacja o kontach użytkowników
/etc/shadow - zakodowane hasła użytkowników
ZOBACZ TAKŻE
passwd(3), group(5), passwd(5)
3
PASSWD(1) PASSWD(1)
AUTOR
Julianne Frances Haugh (jockgrrl@ix.netcom.com)
OD TŁUMACZA
Niniejsza dokumentacja opisuje polecenie wchodzące w skład
pakietu shadow-password. Z uwagi na powtarzające się
nazwy poleceń, upewnij się, że korzystasz z właściwej
dokumentacji.
4