shadow/man/de/passwd.1

213 lines
10 KiB
Groff
Raw Normal View History

.\" $Id: passwd.1,v 1.7 2005/04/18 12:29:07 kloczek Exp $
.\" Copyright 1989 - 1994, Julianne Frances Haugh
.\" All rights reserved.
.\"
.\" Redistribution and use in source and binary forms, with or without
.\" modification, are permitted provided that the following conditions
.\" are met:
.\" 1. Redistributions of source code must retain the above copyright
.\" notice, this list of conditions and the following disclaimer.
.\" 2. Redistributions in binary form must reproduce the above copyright
.\" notice, this list of conditions and the following disclaimer in the
.\" documentation and/or other materials provided with the distribution.
.\" 3. Neither the name of Julianne F. Haugh nor the names of its contributors
.\" may be used to endorse or promote products derived from this software
.\" without specific prior written permission.
.\"
.\" THIS SOFTWARE IS PROVIDED BY JULIE HAUGH AND CONTRIBUTORS ``AS IS'' AND
.\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
.\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
.\" ARE DISCLAIMED. IN NO EVENT SHALL JULIE HAUGH OR CONTRIBUTORS BE LIABLE
.\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
.\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
.\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
.\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
.\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
.\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
.\" SUCH DAMAGE.
.TH PASSWD 1
.SH BEZEICHNUNG
passwd \- <20>ndert das Passwort eines Nutzers
.SH "<22>BERSICHT"
\fBpasswd\fR [\fB\-f\fR|\fB\-s\fR] [\fIName\fR]
.br
\fBpasswd\fR [\fB\-g\fR] [\fB\-r\fR|\fB\-R\fR] \fIGruppe\fR
.br
\fBpasswd\fR [\fB\-x \fImax\fR] [\fB\-n \fImin\fR]
[\fB\-w \fIwarn\fR] [\fB\-i \fIinact\fR] \fIlogin\fR
.br
\fBpasswd\fR {\fB\-l\fR|\fB\-u\fR|\fB\-d\fR|\fB\-S\fR|\fB\-e\fR} \fIlogin\fR
.SH BESCHREIBUNG
\fBpasswd\fR <20>ndert die Passw<73>rter f<>r Nutzer\- und Gruppenkonten. Ein normaler
Nutzer kann nur das Passwort seines Kontos ver<65>ndern, der Superuser dagegen
kann die Passw<73>rter aller Konten <20>ndern. Der Verwalter einer Gruppe kann das
Passwort der Gruppe <20>ndern. \fBpasswd\fR ver<65>ndert auch die Informationen <20>ber
das Konto wie den vollst<73>ndigen Namen des Nutzers, seine Login\-Shell oder
Verfallsdatum und \-intervall des Passworts.
.PP
Die Option \fB\-s\fR bewirkt, dass \fBpasswd\fR \fBchsh\fR aufruft, um die Shell
des Nutzers zu <20>ndern. Die Option \fB\-f\fR hat zur Folge, dass \fBpasswd\fR
\fBchfn\fR aufruft, um die Gecos\-Informationen des Nutzers zu <20>ndern. Diese
beiden Optionen sind nur aus Kompatibilit<69>tsgr<67>nden vorhanden, da die anderen
Programme auch direkt aufgerufen werden k<>nnen.
.SS Ver<EFBFBD>ndern des Passworts
Der Nutzer wird zuerst nach seinem alten Passwort gefragt, falls eines
vorhanden ist. Dieses Passwort wird dann verschl<68>sselt und mit dem
abgespeicherten Passwort verglichen. Der Nutzer hat nur eine Gelegenheit, das
richtige Passwort einzugeben. Der Superuser kann diesen Schritt <20>berspringen,
so dass vergessene Passw<73>rter ge<67>ndert werden k<>nnen.
.PP
Nachdem das Passwort eingegeben wurde, werden Informationen <20>ber die
G<EFBFBD>ltigkeitsdauer des Passworts abgefragt, um festzustellen, ob der Nutzer das
Passwort zu dieser Zeit ver<65>ndern darf. Wenn nicht, lehnt \fBpasswd\fR ab,
das Passwort zu <20>ndern, und beendet sich.
.PP
Der Nutzer wird dann aufgefordert, ein neues Passwort einzugeben. Dieses
Passwort wird auf seine Komplexit<69>t <20>berpr<70>ft. Eine allgemeine Richtlinie ist,
dass Passw<73>rter aus sechs bis acht Zeichen bestehen sollten und ein oder
mehrere Zeichen aus folgenden Mengen enthalten sollten:
.IP "" .5i
Kleinbuchstaben
.IP "" .5i
Gro<EFBFBD>buchstaben
.IP "" .5i
Zahlen von 0 bis 9
.IP "" .5i
Satzzeichen
.PP
Seien Sie vorsichtig, dass nicht die standardm<64><6D>igen Erase\- oder Killzeichen
des Systems eingegeben werden. \fBpasswd\fR weist alle Passw<73>rter zur<75>ck, die
nicht ausreichend komplex sind.
.PP
Wenn das Passwort akzeptiert wird, fordert \fBpasswd\fR zu einer erneuten
Eingabe des Passworts auf und vergleicht die zweite Eingabe mit der
ersten. Beide Eingaben m<>ssen <20>bereinstimmen, damit das Passwort ge<67>ndert wird.
.SS Gruppenpassw<EFBFBD>rter
Wenn die Option \fB\-g\fR benutzt wird, wird das Passwort f<>r die bezeichnete
Gruppe ver<65>ndert. Der Nutzer muss entweder der Superuser oder der Administrator
der Gruppe sein. Das aktuelle Gruppenpasswort wird nicht abgefragt. Die Option
\fB\-r\fR wird zusammen mit der Option \fB\-g\fR verwendet, um das aktuelle
Passwort der Gruppe zu entfernen. Das erlaubt den Zugang zur Gruppe f<>r alle
Mitglieder. Die Option \fB\-R\fR wird mit der Option \fB\-g\fR benutzt, um den
Zugang zur Gruppe f<>r alle Nutzer zu beschr<68>nken.
.SS Informationen <EFBFBD>ber den Verfall des Passworts
Die Informationen <20>ber die G<>ltigkeitsdauer des Passworts k<>nnen vom Superuser
mit den Optionen \fB\-x\fR, \fB\-n\fR, \fB\-w\fR und \fB\-i\fR ge<67>ndert werden.
Die Option \fB\-x\fR wird verwendet, um die maximale Anzahl von Tagen
festzulegen, die das Passwort g<>ltig bleibt. Nach \fImax\fR Tagen muss das
Passwort ge<67>ndert werden.
Mit der Option \fB\-n\fR kann die Mindestzahl der Tage bestimmt werden, bevor es
ver<EFBFBD>ndert werden darf. Der Nutzer kann das Passwort nicht <20>ndern, bevor nicht
\fImin\fR Tage abgelaufen sind.
Die Option \fB\-w\fR wird verwendet, um die Anzahl der Tage festzulegen, an
denen der Nutzer eine Warnung erh<72>lt, bevor sein Passwort ung<6E>ltig wird. Die
Warnung wird dem Nutzer \fIwarn\fR Tage vor dem Verfall mitgeteilt und enth<74>lt
den Hinweis, wie viele Tage noch verbleiben, bis das Passwort verf<72>llt.
Die Option \fB\-i\fR wird benutzt, um das Nutzerkonto zu deaktivieren, nachdem
das Passwort f<>r eine bestimmte Anzahl von Tagen ung<6E>ltig war. Wenn ein
Nutzerkonto ein abgelaufenes Passwort f<>r \fIinact\fR Tage hatte, kann der
Nutzer sich nicht mehr bei seinem Konto anmelden.
.PP
Wenn Sie wollen, dass ein Passwort eines Kontos sofort verf<72>llt, sollten Sie
die Option \fB\-e\fR verwenden. Das hat zur Folge, dass der Nutzer gezwungen
wird, sein Passwort zu <20>ndern, wenn er sich das n<>chste Mal anmeldet. Sie
k<EFBFBD>nnen auch die Option \fB\-d\fR verwenden, um das Passwort eines Nutzers zu
l<EFBFBD>schen (es wird also leer). Seien Sie mit dieser Option vorsichtig, da sie
dazu f<>hrt, dass ein Konto <20>berhaupt kein Passwort zur Anmeldung ben<65>tigt. Das
<EFBFBD>ffnet Ihr System f<>r Eindringlinge.
.SS Wartung der Konten
Nutzerkonten k<>nnen mit den Flags \fB\-l\fR und \fB\-u\fR gesperrt und
freigegeben werden.
Die Option \fB\-l\fR schaltet ein Konto ab, indem es ein Passwort zuweist, das
mit keinem m<>glichen verschl<68>sselten Wert <20>bereinstimmen kann.
Die Option \fB\-u\fR reaktiviert ein Konto wieder, indem das Passwort auf seinen
alten Wert zur<75>ckgesetzt wird.
.PP
Der Kontostatus kann mit der Option \fB\-S\fR abgerufen werden. Die
Statusinformation besteht aus sieben Feldern.
Das erste Feld ist der Login\-Name des Nutzers.
Das zweite Feld zeigt an, ob das Nutzerkonto gesperrt ist (L), kein Passwort
hat (NP) oder ein verwendbares Passwort hat (P).
Das dritte Feld zeigt das Datum der letzten Ver<65>nderung des Passworts an.
Die n<>chsten vier Felder sind die minimale Zeit, die maximale Zeit, die Dauer
der Warnung und die Dauer der Unt<6E>tigkeit f<>r das Passwort.
Die Zeitr<74>ume werden in Tagen ausgedr<64>ckt. Lesen Sie oben
.B Informationen <EFBFBD>ber den Verfall des Passworts
zu Ausf<73>hrungen <20>ber diese Felder.
.SS Hinweise zu Nutzerpassw<EFBFBD>rtern
Die Sicherheit eines Passworts h<>ngt von der St<53>rke des
Verschl<EFBFBD>sselungsalgorithmus und von der Gr<47><72>e des Schl<68>sselraums (key space)
ab. Die Verschl<68>sselung auf \fB\s\-2UNIX\s+2\fR\-Systemen basiert auf dem
NBS\-DES\-Algorithmus und ist sehr sicher. Die Gr<47><72>e des Schl<68>sselraums h<>ngt von
der Zuf<75>lligkeit des gew<65>hlten Passworts ab.
.PP
Gefahren f<>r die Sicherheit von Passw<73>rtern kommen gew<65>hnlich von sorgloser
Wahl oder Handhabung des Passworts.
Daher sollten Sie kein Passwort w<>hlen, das in einem W<>rterbuch auftaucht oder
das aufgeschrieben werden muss. Das Passwort sollte somit kein echter Name,
Ihr Autokennzeichen, Geburtstag oder Ihre Adresse sein. All das kann dazu
verwendet werden, das Passwort zu erraten, und stellt daher eine Gefahr f<>r die
Sicherheit Ihres Systems dar.
.PP
Sie m<>ssen sich Ihr Passwort leicht merken k<>nnen, damit Sie nicht gezwungen
sind, es auf ein St<53>ck Papier aufzuschreiben. Das k<>nnen Sie dadurch erreichen,
indem zwei kurze W<>rter zusammengef<65>gt werden und mit einem besonderen Zeichen
oder einer Zahl getrennt werden. Zum Beispiel Pass%wort.
.PP
Eine andere Herangehensweise ist es, einen leicht zu merkenden Satz aus der
Literatur zu w<>hlen und den ersten oder letzten Buchstaben von jedem Wort zu
nehmen. Ein Beispiel daf<61>r:
.IP "" .5i
Die Kruste wird im Allgemeinen ueberbewertet!
.PP
Das ergibt
.IP "" .5i
DKwiAu!
.PP
Sie k<>nnen einigerma<6D>en sicher sein, dass dieses Wort nur wenige Cracker in
ihren W<>rterlisten haben. Sie sollten allerdings Ihre eigenen Methoden
entwickeln, wie Sie Passw<73>rter w<>hlen, und sich nicht ausschlie<69>lich auf die
hier vorgestellten st<73>tzen.
.SS Anmerkungen zu Gruppenpassw<EFBFBD>rtern
Gruppenpassw<EFBFBD>rter beinhalten ein inh<6E>rentes Sicherheitsproblem, da mehr als nur
eine Person das Passwort kennt. Damit haftet schon der Idee von
Gruppenpassw<EFBFBD>rtern ein Sicherheitsproblem an. Jedoch sind Gruppen ein
n<EFBFBD>tzliches Werkzeug, um Zusammenarbeit zwischen verschiedenen Nutzern zu
erm<EFBFBD>glichen.
.SH WARNUNGEN
Es kann sein, dass einige Optionen nicht unterst<73>tzt werden.
Die Komplexit<69>t der Passwortpr<70>fung kann sich auf verschiedenen Systemen
unterscheiden.
Der Nutzer wird angehalten, ein so komplexes Passwort zu w<>hlen, wie es ihm
angenehm ist.
Nutzer k<>nnen unter Umst<73>nden ihr Passwort nicht <20>ndern, wenn auf dem System
NIS aktiviert ist, sie aber nicht am NIS\-Server angemeldet sind.
.SH DATEIEN
\fI/etc/passwd\fR \- Informationen zu den Nutzerkonten
.br
\fI/etc/shadow\fR \- Verschl<68>sselte Informationen zu den Nutzerkonten
.SH "R<>CKGABEWERTE"
.TP 2
Der Befehl \fBpasswd\fR gibt beim Beenden folgende Werte zur<75>ck:
\fB0\fR \- Erfolg
.br
\fB1\fR \- Berechtigung verweigert
.br
\fB2\fR \- ung<6E>ltige Kombination von Optionen
.br
\fB3\fR \- unerwarteter Fehler, nichts ver<65>ndert
.br
\fB4\fR \- unerwarteter Fehler, die Datei passwd fehlt
.br
\fB5\fR \- Datei passwd wird benutzt, versuchen Sie es sp<73>ter noch einmal
.br
\fB6\fR \- ung<6E>ltiges Argument f<>r Option
.SH "SIEHE AUCH"
.BR group (5),
.BR passwd (5),
.BR shadow (5)
.SH AUTOR
Julianne Frances Haugh <jockgrrl@ix.netcom.com>
.PP
<EFBFBD>bersetzung von Simon Brandmair <sbrandmair@gmx.net> (Apr 2005)