passwd - Felhasználói jelszó megváltoztatása
passwd [
-f|
-s] [
név]
passwd [
-g] [
-r|
-R]
csoport
passwd [
-x max] [
-n min] [
-w
figy] [
-i inakt]
név
passwd {
-l|
-u|
-d|
-S}
név
A
passwd a felhasználók és a csoportok
megváltoztatását végzi. A
felhasználók csak a saját jelszavukat
változtathatják meg, a rendszergazda bárkiét. A
csoportok jelszavát az adott csoport adminisztrátora
változtathatja meg. A
passwd ezen kívül
használható a felhasználói adatok, mint pl. az
igazi név, a login shell, vagy a jelszavak "szavatossági
idejének" megváltoztatására is.
A felhasználónak először a régi
jelszavát kell beírnia, ha már volt neki. Ezután
ennek a jelszónak a kódolt változatát
összehasonlítja a tárolt jelszóval. A
megfelelő jelszó beírására a
felhasználónak csak egy lehetősége van. A
rendszergazda átugorhatja ezt a lépést, így az
elfelejtett jelszavak is megváltoztathatóak.
Miután a felhasználó beírta a jelszavát, a
passwd megvizsgálja, hogyan rendelkezett a rendszergazda a
jelszavak "szavatossági idejéről". Amennyiben
az idő nem alkalmas a jelszó
megváltoztatására,
passwd kilép minden
változtatás nélkül.
Ezekután a program bekéri a felhasználótól az
új jelszót, majd megvizsgálja hogy elég
bonyolult-e. Általános szabályként
elmondható, hogy a jelszavak jók, ha 6-8 karakterből
állnak, és a következő
jelkészletekből tartalmaz elemeket:
-
- Az ABC kis betűi
-
- Az ABC nagy betűi
-
- Számok 0 és 9 között
-
- Írásjelek
Fontos odafigyelni, hogy ne tartalmazzon az adott rendszeren használt
"erase" és "kill" kódű karaktereket.
A
passwd nem fogad el nem eléggé bonyolult
jelszót.
Ha a jelszó elfogadható, a
passwd a biztonság
kedvéért még egyszer bekéri az új
jelszót, és csak akkor hajtja végre a
változtatást, ha a két bevitt jelszó megegyezik.
A
-g kapcsoló használata esetén a megadott
nevű csoport jelszava változik meg. Ezt csak a rendszergazda
vagy a csoport adminisztrátora teheti meg. A jelenlegi csoportjelszavat
nem kéri változtatás előtt. Az
-r
kapcsolót a
-g kapcsolóval használva lehet a
csoport jelszavát kikapcsolni, ezáltal minden tag
használhatja a csoportot. Az
-R kapcsoló a
-g
kapcsolóval használva a csoport minden felhasználó
előtt lezárul.
A jelszavak elévülési idejét a rendszergazda a
-x,
-n,
-w, és
-i kapcsolókkal
szabályozhatja. A
-x kapcsoló a
jelszócserék közti maximális időt
állítja be. A jelszót legkésőbb
max
naponként meg kell változtatni. Az
-n kapcsoló a
két jelszócsere közötti minimális
időt szabályozza: a felhasználó addig nem
változtathatja meg jelszavát, amíg legalább
min nap el nem telt az előző változtatás
óta. A
-w kapcsolóval azt állíthatod be,
hogy hány nappal a jelszó lejárta előtt kezdje el
a rendszer a felhasználót figyelmeztetni. Az első
figyelmeztetés
figy nappal a lejárat előtt jelenik
meg, és utána naponta tájékoztatja a
felhasználót a még hátralévő napok
számáról. Az
-i kapcsoló
inakt
nappal a jelszó lejárta után lezárja a
felhasználó belépési
lehetőségét.
A felhasználók lezárhatóak és újra
beengedhetőek a
-l és a
-u kapcsolókkal. Az
-l kapcsoló a jelszót kicseréli egy olyan
értékre, ami semmilyen lehetséges jelszó
kódolt értékével nem egyezik. Az
-u
kapcsoló visszaállítja a jelszót a régire,
és így újra engedélyezi a belépést.
A jogosultságok az
-S kapcsolóval
állíthatóak be. Ez 6 részből áll: Az
első azt jelzi, hogy a felhaszáló le van zárva
(L), nincs jelszava (NP), vagy van érvényes jelszava (P). A
második rész az utolsó
jelszóváltoztatás dátuma. A
következő négy rész a jelszavak minimális
és maximális ideje, az első figyelmeztetés a
jelszó lejárta előtt és hogy mennyi ideig
él a jelszó lejárta után.
Egy jelszavas rendszer biztonsága a kódolási algoritmus
erősségétől és a lehetséges kulcsok
számától függ. A
UNIX rendszerek
kódolási módja az NBS DES algoritmuson alapul, és
nagyon biztonságos. A lehetséges kulcsok száma a
választott jelszó véletlenszerűségén
múlik.
A jelszavas rendszerek feltörése legtöbbször a
gondatlanul megválasztott jelszóválasztásnak vagy
a jelszavak cserélgetésének eredménye. Ezen okok
miatt célszerű olyan jelszót választanod, ami nem
szerepel a szótárban és nem szükséges
leírnod. Tipikusan rossz választás még, ha
valamilyen nevet, valamilyen azonosítószámodat,
születésnapodat, vagy címedet használod
jelszóként. Ezeket legtöbbször minden más
lehetőség vizsgálata előtt
kipróbálja a potenciális cracker.
Igyekezz olyan jelszót választani, amit könnyen megjegyzel
és így nem vagy arra szorulva, hogy le kelljen írnod. Ezt
például úgy érheted el, hogy két
rövidebb szót elválasztasz egy számmal vagy
valamilyen karakterrel, például jel@szo
A másik módszer, hogy egy könnyen megjegyezhető
mondat vagy idézet minden szavának első vagy
utolsó betűjét írod egymás után.
Így például a
-
- Morzsa kutyám hegyezd füled
-ből
-
- Maqmhdfd
lesz. Feltehetőleg kevés cracker szótárában
fog szerepelni ez a szó. Ennek ellenére a még nagyobb
biztonság kedvéért érdemes valamilyen saját
módszert kitalálnod jelszavak
készítésére.
A csoportok jelszavai állandó biztonsági
problémát jelenthetnek, mivel nemcsak egy ember ismerheti a
jelszavat. A csoport-kezelés azonban hasznos abban az esetben, ha
több felhasználó
együttműködését kell megoldani.
Nem biztos, hogy minden kapcsoló felhasználható. Az, hogy
hogyan vizsgálja a jelszavak bonyolultságát,
rendszerről rendszerre változhat. Minden
felhasználónak célszerű a lehető
legbonyolultabb, de még használható jelszót
használnia. Ha NIS-t használ a felhasználók
azonosítására a rendszer és a
felhasználó nem lépett be a NIS
kiszolgálóra, nem változtathatja meg jelszavát.
/etc/passwd - felhasználói információk
/etc/shadow - kódolt felhasználói jelszavak
group(5),
passwd(5),
shadow(5)
Érdi "Cactus" Gergő <
[email protected]>