Der Befehl passwd
In diesem Beitrag lernen Sie den Befehl passwd kennen. Er dient unter Linux- / UNIX-Betriebssystemen der Verwaltung von Passwörtern für Benutzer und Gruppen. Des Weiteren ist auch die Festlegung von Sperr- und Änderungsintervallen für Passwörter möglich.
Informationen zur allgemeinen Benutzer- und Gruppenverwaltung unter Linux / UNIX sind im entsprechenden Beitrag zu finden.
Allgemeine Syntax
Die allgemeine Syntax des Befehls passwd lautet:
passwd [Optionen] [Anmeldename]
Bei Ausführung des Befehls ohne Optionen und Anmeldename wird standardmäßig das Passwort des aktuellen Benutzers geändert. Wird dagegen ein Anmeldename angegeben, so wird das Passwort dieses Benutzers geändert, wobei ein normaler Benutzer nur sein eigenes Passwort ändern kann. Wird ein Passwort geändert, so fragt passwd zunächst das alte Passwort ab, sofern eines vorhanden ist. Anschließend, wenn das richtige Passwort eingegeben wurde, erfolgt eine zweifache Abfrage des neuen, festzulegenden Passworts. Das Passwort wird nur geändert, wenn beide Eingaben übereinstimmen. Schließlich ist zu beachten, dass das Passwort eine ausreichende Komplexität haben muss, damit es von passwd akzeptiert wird. Laut einer allgemeinen Richtlinie sollten Passwörter demnach mindestens 6-8 Zeichen lang sein und aus Kleinbuchstaben, Ziffern (0-9) und Satzzeichen bestehen. Unzureichend komplexe Passwörter werden zurückgewiesen.
Wichtige Optionen
Weitere Aktionen können mithilfe der Optionen von passwd durchgeführt werden. Die wichtigsten dieser Optionen können Sie im Folgenden nachlesen.
-a - Informationen zu allen Benutzern ausgeben
Die Option -a (all) kann ausschließlich zusammen mit der Option -S verwendet werden und bewirkt die Ausgabe von Informationen zu allen Benutzern.
passwd -aS [Anmeldename]
-d - Passwort entfernen
Mithilfe der Option -d (delete) lässt sich das Passwort eines Benutzerkontos entfernen, also "leeren". Das Passwort für den entsprechenden Benutzer ist damit deaktiviert.
passwd -d [Anmeldename]
Beispiel: Option -d
Eingabe:
passwd -d bibo
Bedeutung:
Das Passwort des Benutzers "bibo" wird hier deaktiviert.
-e - Passwort verfallen lassen
Wird passwd mit der Option -e (expire) ausgeführt, so verfällt das Passwort des angegebenen Benutzers sofort. Der Benutzer muss beim nächsten Login ein neues Passwort festlegen.
passwd -e [Anmeldename]
Beispiel: Option -e
Eingabe:
passwd -e bibo
Bedeutung:
Der hier gezeigte Befehl lässt das Passwort des Benutzers "bibo" augenblicklich verfallen. Bei dem nächsten Login von "bibo" muss dieser sein Passwort neu setzen.
-i - Konto nach Inaktivität deaktivieren
Die Option -i (inactive) erlaubt die Deaktivierung eines Kontos nach einer bestimmten Anzahl von Tagen, nachdem das Passwort abgelaufen ist. Effektiv führt dies dazu, dass ein Benutzer, der länger als die angegebene Anzahl Tage ein abgelaufenes Passwort hat, sich nicht mehr anmelden kann.
passwd -i [Anzahl Tage] [Anmeldename]
Beispiel: Option -i
Eingabe:
passwd -i 7 bibo
Bedeutung:
In diesem Beispiel wird die Inaktivitätsdauer so gesetzt, dass das Konto von "bibo" im Falle einer siebentägigen Inaktivität nach Ablauf seines Passworts deaktiviert wird.
-l - Passwort sperren
Die Sperrung eines Passworts ist mit der Option -l (lock) möglich. Konkret wird dem verschlüsselten Passwort des Benutzers durch Voranstellen eines "!" ein unmöglich erreichbarer Wert zugewiesen.
passwd -l [Anmeldename]
Es ist zu beachten, dass hierdurch nicht das Konto deaktiviert wird. Die Anmeldung mit einer anderen Authentifizierungsmethode, wie beispielsweise einem SSH-Schlüssel, ist weiterhin möglich.
Beispiel: Option -l
Die Sperrung des Passworts für einen Benutzer "admina" wird in diesem Beispiel gezeigt.
Eingabe:
passwd -l admina
Ausgabe:
Im Folgenden ist die Zeile des Benutzers "admina" in der Datei /etc/shadow zu sehen. Vor das verschlüsselte Passwort wurde ein Ausrufungszeichen "!" angehängt. Das verschlüsselte Passwort selbst wurde hier gekürzt.
admina:!$6$OUTY9bpK$m/IQR (...) :18981:0:99999:7:::
-n - Mindestalter festlegen
Der zeitliche Mindest-Abstand in Tagen zwischen zwei Passwort-Änderungen lässt sich mit der Option -n (mindays) festlegen. Der Wert Null bedeutet, dass der Benutzer sein Passwort jederzeit ändern darf.
passwd -n [Anzahl Tage] [Anmeldename]
Beispiel: Option -n
Eingabe:
passwd -n 2 admina
Bedeutung:
Das minimale Alter eines Passworts wird hier für den Benutzer auf 2 Tage gesetzt.
-S - Aktuelle Werte abfragen
Mit der Option -S (status) können Informationen über den Kontostatus abgerufen werden:
passwd -S [Anmeldename]
Die Statusinformation beinhaltet folgende sieben Felder:
Feld | Bedeutung |
---|---|
1. | Der Anmeldename des Benutzers |
2. | Der Status des Benutzerkontos. Zulässig sind ein gesperrtes Passwort (L), kein Passwort (NP) und ein verwendbares Passwort (P). |
3. | Datum der letzten Änderung des Passworts |
4. | Mindestalter des Passworts in Tagen |
5. | Höchstalter des Passworts in Tagen |
6. | Warnungsdauer in Tagen |
7. | Inaktivitätsdauer in Tagen |
Beispiel: Option -S
Dieses Beispiel zeigt die Abfrage von Informationen über den Status eines Benutzerkontos mithilfe der Option -S.
Eingabe:
passwd -S hellberg
Ausgabe:
Der Befehl passwd gibt hier eine Zeile mit aktuellen Werten zum Benutzerkonto mit dem Namen "hellberg" aus. Das Passwort ist derzeit gültig und verwendbar (P) und wurde am 28. Januar 2020 zuletzt geändert. Das Mindestalter des Passworts beträgt Null (0), d.h. es kann jederzeit geändert werden. Eine Änderung des Passworts ist 365 Tage nach dem letzten Änderungsdatum nötig. Schließlich ist die Inaktivitätsdauer auf den Wert -1 gesetzt, sodass das Konto auch nach längerer Inaktivität nach Ablaufen des Passworts nie deaktiviert wird.
hellberg P 01/28/2020 0 365 -1
-u - Passwort freigeben
Die Option -u (unlock) kann verwendet werden, um ein bereits gesperrtes Passwort wieder freizugeben. Das Passwort wird dazu auf seinen alten Wert zurückgesetzt.
passwd -u [Anmeldename]
Beispiel: Option -u
Die Entsperrung des Passworts für einen Benutzer "admina" wird in diesem Beispiel gezeigt.
Eingabe:
passwd -u admina
Ausgabe:
Im Folgenden wird wieder die Zeile des Benutzers "admina" in der Datei /etc/shadow gezeigt. Das zuvor bei der Sperrung angehängte Ausrufungszeichen "!" vor dem verschlüsselten Passwort wurde nun wieder entfernt. Das verschlüsselte Passwort selbst wurde hier gekürzt.
admina:$6$OUTY9bpK$m/IQR (...) :18981:0:99999:7:::
-w - Warnungsdauer festlegen
Mithilfe der Option -w (warndays) wird die Anzahl Tage festgelegt, die ein Benutzer gewarnt wird, bevor sein Passwort abläuft.
passwd -w [Dauer in Tagen] [Anmeldename]
Beispiel: Option -w
Eingabe:
passwd -w 14 bibo
Bedeutung:
Die Warnungsdauer wird hier für den Benutzer "bibo" auf 14 Tage gesetzt. Der Benutzer "bibo" würde damit im Zeitraum ab 14 Tagen vor dem Ablauf seines Passworts bis zum Ablaufzeitpunkt gewarnt werden.
-x - Höchstalter festlegen
Die maximale Anzahl Tage, die ein Passwort gültig bleibt, wird mit der Option -x (maxdays) gesetzt.
passwd -x [Anzahl Tage] [Anmeldename]
Beispiel: Option -x
Eingabe:
passwd -x 365 bibo
Bedeutung:
Dieses Beispiel zeigt, wie das Höchstalter eines Passworts für den Benutzer "bibo" auf 365 Tage gesetzt wird. Somit läuft sein Passwort 365 Tage bzw. ein Jahr nach dem letzten Änderungsdatum ab.
Abonniere JETZT unseren Newsletter!
Verpasse nie wieder neue Beiträge und exklusive Insider-Only-Inhalte!