PASSWD(1) PASSWD(1)
passwd - zmiana hasa uytkownika
passwd [-f|-s] [nazwa]
passwd [-g] [-r|-R] grupa
passwd [-x max] [-n min] [-w ostrze] [-i nieakt] login
passwd {-l|-u|-d|-S|-e} login
passwd zmienia hasa kont uytkownikw i grup. Zwyky uytkownik moe zmieni
wycznie haso wasnego konta, superuytkownik moe zmienia hasa dowolnych
kont. Administrator grupy moe zmieni haso tej grupy. passwd zmienia
take informacje o koncie, takie jak pena nazwa uytkownika, jego powoka
zgoszeniowa (logowania) czy daty i interway dotyczce wanoci hasa.
Uycie opcji -s powoduje wywoanie przez passwd programu chsh w celu zmi-
any powoki uytkownika, uycie opcji -f powoduje wywoanie przez passwd
programu chfn w celu zmiany infirmacji o uytkowniku. Te dwie opcje ist-
niej jedynie dla zgodnoci, gdy wymienione programy mog by wywoywane
bezporednio.
Zmiany hasa
Na pocztku uytkownik pytany jest o stare, dotychczasowe haso, jeli
takie istnieje. Haso to jest kodowane i porwnywane z przechowywanym
hasem. Uytkownik ma tylko jedn prb na wprowadzenie poprawnego hasa.
Superuytkownikowi zezwala si na pominicie tego kroku, aby mogy by
zmienione hasa, ktrych zapomniano.
Po wprowadzeniu hasa, sprawdzana jest informacja o jego wieku, by
stwierdzi czy uytkownikowi wolno w danym czasie zmieni haso. Jeeli
nie, to passwd odmawia zmiany hasa i koczy prac.
Nastpnie uytkownik proszony jest o nowe haso, zastpujce dotychczasowe.
Haso podlega sprawdzeniu jego zawioci. Jako ogln wskazwk mona poda, e
hasa powinny skada si z 6 do 8 znakw, zawierajc po jednym lub wicej
znakw z kadej z poniszych kategorii:
mae litery alfabetu
due litery alfabetu
cyfry od 0 do 9
znaki interpunkcyjne
Naley uwaa, by nie uy domylnych systemowych znakw akcji erase lub kill.
passwd odrzuci kade niedostatecznie skomplikowane haso.
Jeli haso zostanie przyjte, to passwd prosi o jego powtrzenie i por-
wnuje drugi wpis z pierwszym. Oba wpisy musz by takie same, by haso
zostao zmienione.
Hasa grup
Jeeli posuono si opcj -g, to zmieniane jest haso podanej grupy.
Uytkownik powinien by albo superuytkownikiem albo administratorem tej
grupy. Nie wystpuje pytanie o biece haso grupy. Do usuwania biecego
hasa danej grupy suy opcja -g w poczeniu z -r. Pozwala to na dostp do
grupy tylko jej czonkom. Opcja -R w poczeniu z -g ogranicza dostp do
grupy wszystkim uytkownikom.
Informacja o wanoci konta
Superuytkownik moe zmienia informacj o wieku konta posugujc si opcjami
-x, -n, -w oraz -i. Opcja -x suy do ustawiania maksymalnej liczby dni,
przez jakie haso pozostaje wane. Po upywie max dni, haso musi by
zmienione. Opcja -n ustawia minimaln liczb dni, jakie musz upyn zanim
haso bdzie mogo by zmienione. Uytkownik nie otrzyma zezwolenia na
zmian hasa przed upywem min dni. Opcja -w suy do ustawienia liczby dni
przed upywem terminu wanoci hasa, przez ktre uytkownik bdzie otrzymywa
ostrzeenie mwice mu, ile dni pozostao do tej daty. Ostrzeenia zaczn
pojawia si ostrze dni przed upywem wanoci hasa. Opcja -i (nieaktywno)
suy do wyczania konta po upywie zadanej liczby dni po wyganiciu hasa.
Po upywie nieakt dni od przeterminowania hasa uytkownik nie moe ju
korzysta z konta.
Jeli istnieje potrzeba natychmiastowego przeterminowania hasa dla
danego konta, mona posuy si opcj -e. Spowoduje to zmuszenie uytkownika
do zmiany hasa przy najbliszym logowaniu. Za pomoc opcji -d mona ska-
sowa haso uytkownika (uczyni je pustym). Naley zachowa szczegln ostrono
uywajc tej opcji, gdy moe ona spowodowa, e do zalogowania si na konto
nie bdzie w ogle potrzebne haso, pozostawiajc system otwartym dla
nieproszonych goci.
Utrzymywanie i konserwacja konta
Konta uytkownikw mog by blokowane i odblokowywane przy pomocy opcji -l
i -u. Opcja -l wycza konto zmieniajc jego haso na warto nieodpowiadajc
adnemu moliwemu zakodowanemu hasu. Opcja -u ponownie udostpnia konto
przywracajc uprzedni warto hasa.
Stan konta mona uzyska przy pomocy opcji -S. Informacja o stanie skada
si z 6 czci. Pierwsza wskazuje, czy konto uytkownika jest zablokowane
(L) (locked), nie posiada hasa (NP) (no password) lub ma funkcjonalne
haso (P) (password). Druga cz podaje dat ostatniej zmiany hasa.
nastpne cztery to minimalny wiek, maksymalny wiek, okres ostrzegania i
okres nieaktywnoci hasa.
Podpowiedzi dotyczce hase uytkownika
Bezpieczestwo hasa zaley od siy algorytmu kodujcego oraz rozmiaru
przestrzeni kluczy. Metoda kodowania uywana w Systemie UNIX oparta jest
o algorytm NBS DES i jest bardzo bezpieczna. Rozmiar przestrzeni kluczy
zaley od losowoci wybranego hasa.
Naruszenia bezpieczestwa hase wynikaj zwykle z beztroski przy wyborze
lub przechowywaniu hasa. Z tego powodu nie naley wybiera hasa wystpu-
jcego w sowniku ani takiego, ktre wymaga zanotowania. Haso nie powinno
te by poprawn nazw, imieniem, nazwiskiem, numerem prawa jazdy, dat
urodzenia czy elementem adresu. Wszystkie z powyszych mog by uyte do
odgadnicia hasa i naruszenia bezpieczestwa systemu.
Haso musi by atwe do zapamitania, tak by nie by zmuszonym do jego
zapisywania na kartce. Mona to osign sklejajc ze sob dwa krtkie sowa,
ze wstawionym pomidzy nie znakiem specjalnym lub cyfr. Na przykad,
Pass%word, Lew7konia.
Inna metoda konstrukcji hasa polega na wyborze atwego do zapamitania
zdania (np. z literatury) i wyborze pierwszej bd ostatniej litery
kadego wyrazu. Przykadem tego jest
Ask not for whom the bell tolls.
co daje
An4wtbt,
albo te
A czy znasz Ty, bracie mody
co daje
A3zTbm.
W zasadzie mona by pewnym, e niewielu crackerw bdzie mie takie haso w
swoich sownikach. Naley jednak wybiera wasne metody konstrukcji hase a
nie polega wycznie na opisanych tutaj.
Uwagi o hasach grup
Hasa grup s nieodcznym problemem bezpieczestwa, gdy do ich znajomoci
uprawniona jest wicej ni jedna osoba. Grupy s jednak uytecznym
narzdziem pozwalajcym na wspprac midzy rnymi uytkownikami.
Niektre opcje mog nie by obsugiwane. Sprawdzanie zoonoci hasa moe rni
si w rnych instalacjach. Zachca si uytkownika do wyboru tak skomp-
likowanego hasa, z jakim bdzie mu wygodnie. Uytkownicy mog nie mc
zmieni hasa w systemie przy wczonym NIS, jeli nie s zalogowani do serw-
era NIS.
/etc/passwd - informacja o kontach uytkownikw
/etc/shadow - zakodowane hasa uytkownikw
Polecenie passwd koczy dziaanie z nastpujcymi wartociami kodw
zakoczenia:
0 - powodzenie
1 - permission denied
2 - niewaciwa skadnia parametrw polecenia
3 - nieoczekiwanie niepowodzenie, nic nie zostao wykonane
4 - nieoczekiwanie niepowodzenie, brakuje pliku passwd
5 - passwd file busy, try again later
6 - niewaciwe parametry opcji
group(5), passwd(5), shadow(5)
Julianne Frances Haugh <jockgrrl [AT] ix.com>
PASSWD(1)