NAZWA
passwd − zmiana hasła użytkownika
SKŁADNIA
passwd
[−f|−s] [nazwa]
passwd [−g]
[−r|−R] grupa
passwd [−x max] [−n
min] [−w ostrzeż]
[−i nieakt] login
passwd
{−l|−u|−d|−S|−e}
login
OPIS
passwd zmienia hasła kont użytkowników i grup. Zwykły użytkownik może zmienić wyłącznie hasło własnego konta, superużytkownik może zmieniać hasła dowolnych kont. Administrator grupy może zmienić hasło tej grupy. passwd zmienia także informacje o koncie, takie jak pełna nazwa użytkownika, jego powłoka zgłoszeniowa (logowania) czy daty i interwały dotyczące ważności hasła.
Użycie opcji −s powoduje wywołanie przez passwd programu chsh w celu zmiany powłoki użytkownika, użycie opcji −f powoduje wywołanie przez passwd programu chfn w celu zmiany infirmacji o użytkowniku. Te dwie opcje istnieją jedynie dla zgodności, gdyż wymienione programy mogą być wywoływane bezpośrednio.
Zmiany
hasła
Na początku użytkownik pytany jest o stare,
dotychczasowe hasło, jeśli takie istnieje.
Hasło to jest kodowane i porównywane z
przechowywanym hasłem. Użytkownik ma tylko
jedną próbę na wprowadzenie poprawnego
hasła. Superużytkownikowi zezwala się na
pominięcie tego kroku, aby mogły być
zmienione hasła, których zapomniano.
Po wprowadzeniu hasła, sprawdzana jest informacja o jego wieku, by stwierdzić czy użytkownikowi wolno w danym czasie zmienić hasło. Jeżeli nie, to passwd odmawia zmiany hasła i kończy pracę.
Następnie użytkownik proszony jest o nowe hasło, zastępujące dotychczasowe. Hasło podlega sprawdzeniu jego zawiłości. Jako ogólną wskazówkę można podać, że hasła powinny składać się z 6 do 8 znaków, zawierając po jednym lub więcej znaków z każdej z poniższych kategorii:
|
małe litery alfabetu |
||
|
duże litery alfabetu |
||
|
cyfry od 0 do 9 |
||
|
znaki interpunkcyjne |
Należy uważać, by nie użyć domyślnych systemowych znaków akcji erase lub kill. passwd odrzuci każde niedostatecznie skomplikowane hasło.
Jeśli hasło zostanie przyjęte, to passwd prosi o jego powtórzenie i porównuje drugi wpis z pierwszym. Oba wpisy muszą być takie same, by hasło zostało zmienione.
Hasła
grup
Jeżeli posłużono się opcją
−g, to zmieniane jest hasło podanej grupy.
Użytkownik powinien być albo
superużytkownikiem albo administratorem tej grupy. Nie
występuje pytanie o bieżące hasło grupy.
Do usuwania bieżącego hasła danej grupy
służy opcja −g w połączeniu
z −r. Pozwala to na dostęp do grupy tylko
jej członkom. Opcja −R w
połączeniu z −g ogranicza dostęp do
grupy wszystkim użytkownikom.
Informacja o
ważności konta
Superużytkownik może zmieniać informację
o wieku konta posługując się opcjami
−x, −n, −w oraz
−i. Opcja −x służy do
ustawiania maksymalnej liczby dni, przez jakie hasło
pozostaje ważne. Po upływie max dni,
hasło musi być zmienione. Opcja −n
ustawia minimalną liczbę dni, jakie muszą
upłynąć zanim hasło będzie
mogło być zmienione. Użytkownik nie otrzyma
zezwolenia na zmianę hasła przed upływem
min dni. Opcja −w służy do
ustawienia liczby dni przed upływem terminu
ważności hasła, przez które
użytkownik będzie otrzymywał ostrzeżenie
mówiące mu, ile dni pozostało do tej daty.
Ostrzeżenia zaczną pojawiać się
ostrzeż dni przed upływem
ważności hasła. Opcja −i
(nieaktywność) służy do
wyłączania konta po upływie zadanej liczby
dni po wygaśnięciu hasła. Po upływie
nieakt dni od przeterminowania hasła
użytkownik nie może już korzystać z
konta.
Jeśli istnieje potrzeba natychmiastowego przeterminowania hasła dla danego konta, można posłużyć się opcją −e. Spowoduje to zmuszenie użytkownika do zmiany hasła przy najbliższym logowaniu. Za pomocą opcji −d można skasować hasło użytkownika (uczynić je pustym). Należy zachować szczególną ostrożność używając tej opcji, gdyż może ona spowodować, że do zalogowania się na konto nie będzie w ogóle potrzebne hasło, pozostawiając system otwartym dla nieproszonych gości.
Utrzymywanie
i konserwacja konta
Konta użytkowników mogą być blokowane
i odblokowywane przy pomocy opcji −l i
−u. Opcja −l wyłącza
konto zmieniając jego hasło na wartość
nieodpowiadającą żadnemu możliwemu
zakodowanemu hasłu. Opcja −u ponownie
udostępnia konto przywracając uprzednią
wartość hasła.
Stan konta można uzyskać przy pomocy opcji −S. Informacja o stanie składa się z 6 części. Pierwsza wskazuje, czy konto użytkownika jest zablokowane (L) (locked), nie posiada hasła (NP) (no password) lub ma funkcjonalne hasło (P) (password). Druga część podaje datę ostatniej zmiany hasła. następne cztery to minimalny wiek, maksymalny wiek, okres ostrzegania i okres nieaktywności hasła.
Podpowiedzi
dotyczące haseł użytkownika
Bezpieczeństwo hasła zależy od siły
algorytmu kodującego oraz rozmiaru przestrzeni kluczy.
Metoda kodowania używana w Systemie
UNIX oparta jest o algorytm NBS DES i
jest bardzo bezpieczna. Rozmiar przestrzeni kluczy
zależy od losowości wybranego hasła.
Naruszenia bezpieczeństwa haseł wynikają zwykle z beztroski przy wyborze lub przechowywaniu hasła. Z tego powodu nie należy wybierać hasła występującego w słowniku ani takiego, które wymaga zanotowania. Hasło nie powinno też być poprawną nazwą, imieniem, nazwiskiem, numerem prawa jazdy, datą urodzenia czy elementem adresu. Wszystkie z powyższych mogą być użyte do odgadnięcia hasła i naruszenia bezpieczeństwa systemu.
Hasło musi być łatwe do zapamiętania, tak by nie być zmuszonym do jego zapisywania na kartce. Można to osiągnąć sklejając ze sobą dwa krótkie słowa, ze wstawionym pomiędzy nie znakiem specjalnym lub cyfrą. Na przykład, Pass%word, Lew7konia.
Inna metoda konstrukcji hasła polega na wyborze łatwego do zapamiętania zdania (np. z literatury) i wyborze pierwszej bądź ostatniej litery każdego wyrazu. Przykładem tego jest
|
Ask not for whom the bell tolls. |
co daje
|
An4wtbt, |
albo też
|
A czy znasz Ty, bracie młody |
co daje
|
A3zTbm. |
W zasadzie można być pewnym, że niewielu crackerów będzie mieć takie hasło w swoich słownikach. Należy jednak wybierać własne metody konstrukcji haseł a nie polegać wyłącznie na opisanych tutaj.
Uwagi o
hasłach grup
Hasła grup są nieodłącznym problemem
bezpieczeństwa, gdyż do ich znajomości
uprawniona jest więcej niż jedna osoba. Grupy
są jednak użytecznym narzędziem
pozwalającym na współpracę między
różnymi użytkownikami.
PRZESTROGI
Niektóre opcje mogą nie być obsługiwane. Sprawdzanie złożoności hasła może różnić się w różnych instalacjach. Zachęca się użytkownika do wyboru tak skomplikowanego hasła, z jakim będzie mu wygodnie. Użytkownicy mogą nie móc zmienić hasła w systemie przy włączonym NIS, jeśli nie są zalogowani do serwera NIS.
PLIKI
/etc/passwd
− informacja o kontach użytkowników
/etc/shadow − zakodowane hasła
użytkowników
KOD ZAKOŃCZENIA
Polecenie
passwd kończy działanie z
następującymi wartościami kodów
zakończenia:
|
0 |
− powodzenie | ||
|
1 |
− permission denied | ||
|
2 |
− niewłaściwa składnia parametrów polecenia | ||
|
3 |
− nieoczekiwanie niepowodzenie, nic nie zostało wykonane | ||
|
4 |
− nieoczekiwanie niepowodzenie, brakuje pliku passwd | ||
|
5 |
− passwd file busy, try again later | ||
|
6 |
− niewłaściwe parametry opcji |
ZOBACZ TAKŻE
group(5), passwd(5), shadow(5)
AUTOR
Julianne Frances Haugh <jockgrrl [AT] ix.com>