passwd(1) passwd(1)
NAME
passwd - Login-Paßwort und Paßwortattribute eintragen oder ändern
(password)
SYNTAX
passwd [option ...] [loginname]
BESCHREIBUNG
passwd trägt für einen Login-Namen ein Paßwort in die Datei
/etc/shadow ein oder ändert ein vorhandenes Paßwort. Zusätzlich können
bestimmte Attribute des Paßworts ausgegeben oder geändert werden.
Jeder Benutzer kann sich die Attribute seines Paßworts ausgeben las-
sen. Benutzer ohne Systemverwalterrechte können nur ihr eigenes Paß-
wort und dessen Attribute ändern. Der Systemverwalter kann die Paßwör-
ter und deren Attribute für alle lokalen Login-Namen ändern.
Vom Benutzer ohne Systemverwalterrechte erwartet passwd die Eingabe
des alten Paßworts, falls vorhanden.
Dann fordert passwd die Eingabe des neuen Paßworts. Das neue Paßwort
muß zweimal eingegeben werden, um Fehler zu vermeiden. Die eingegebe-
nen Paßwörter werden am Bildschirm nicht angezeigt.
Wenn das alte Paßwort eingegeben wurde, überprüft passwd, ob die zeit-
lichen Bedingungen für Paßwörter erfüllt sind. Falls dies nicht der
Fall ist, beendet sich passwd [vgl. shadow(4)]. Wenn für das Paßwort
des Benutzers keine speziellen zeitlichen Bedingungen gesetzt wurden
(Optionen -n und -x), werden die Standardwerte MAXWEEK und MINWEEK aus
der Datei /etc/default/passwd verwendet [vgl. defaultpasswd(4)].
Falls zeitliche Bedingungen gesetzt wurden, wird die Information dar-
über in der Datei /etc/shadow nicht verändert.
Wenn die zeitlichen Bedingungen erfüllt sind, überprüft passwd, ob das
neue Paßwort das korrekte Format hat.
Ein Paßwort
- muß mindestens PASSLENGTH Zeichen lang sein, wobei der Wert
PASSLENGTH der Datei /etc/default/passwd entnommen wird. PASSLENGTH
hat mindestens den Wert 6. passwd wertet immer nur die ersten 8
Zeichen eines Paßworts aus, auch wenn PASSLENGTH größer als 8 ist.
- muß mindestens zwei Buchstaben und ein numerisches oder Sonderzei-
chen enthalten. Die Buchstaben können groß oder klein geschrieben
sein.
Seite 1 Reliant UNIX 5.44 Gedruckt 11/98
passwd(1) passwd(1)
- darf nicht gleich dem vorwärts- oder rückwärts geschriebenen Benut-
zernamen sein, oder aus einer zyklischen Vertauschung der Buchsta-
ben des Benutzernamens bestehen. Bei diesen Vergleichen wird nicht
zwischen Groß- und Kleinschreibung unterschieden.
- muß sich vom alten Paßwort um mindestens drei Zeichen unterschei-
den. Bei diesem Vergleich wird nicht zwischen Groß- und Klein-
schreibung unterschieden.
- darf generell nicht das Zeichen <CR> enthalten.
Ist in der Datei /etc/default/passwd [vgl. defaultpasswd(4)] die
Variable ADDCHECK auf "yes" gesetzt, werden folgende zusätzliche Prü-
fungen vorgenommen:
- Es wird nach allzu simplen Paßwörtern gesucht, wie einfache Buch-
stabenwiederholungen.
- Das Paßwort wird mit einigen host-spezifischen Informationen ver-
glichen, wie z. B. den Hostnamen.
- Das Paßwort wird auf verschiedene Kombinationen aus dem Benutzer-
eintrag in /etc/passwd geprüft (Umkehrung des Login-Namens, Verdop-
pelung des Login-Namens).
- Das Paßwort wird mit Informationen über den Benutzer an lokalen und
fernen Systemen, die das finger(1)-Kommando liefert, verglichen.
- Es werden eigens angelegte Wörterbücher [siehe makedict(1M)] nach
dem Paßwort durchsucht.
Die Prüfungen erfolgen unabhängig von Groß- oder Kleinschreibung
(außer bei Zeichenprüfungen).
Standardmäßig sind die folgenden Zeichen in Paßwörtern nicht erlaubt
[vgl. ascii(5)]:
CTRL-C (ETX), CTRL-D (EOT), CTRL-H (BS), CTRL-J (LF), CTRL-M (CR),
CTRL-O (SI), CTRL-Q (DC1), CTRL-R (DC2), CTRL-S (DC3), CTRL-Y (EM),
CTRL-Z (SUB), CTRL-\ (FS), CTRL-[ (ESC), CTRL-] (GS), DEL
Folgende Typen von Paßwörtern werden akzeptiert:
- Paßwörter, die Groß- und Kleinbuchstaben verwenden.
- Paßwörter, die Interpunktionszeichen verwenden.
- Paßwörter, die Zahlen verwenden.
- Paßwörter, die zulässige CTRL-Zeichen verwenden.
passwd wertet nur die ersten 8 Zeichen eines Paßwortes aus.
Seite 2 Reliant UNIX 5.44 Gedruckt 11/98
passwd(1) passwd(1)
Der Systemverwalter braucht das alte Paßwort nicht einzugeben, und das
neue Paßwort wird nicht auf das korrekte Format überprüft (außer
<CR>). Auch die zeitlichen Bedingungen für Paßwörter werden nicht
überprüft.
OPTIONEN
Keine Option angegeben:
Es wird das Paßwort des Login-Namens geändert, unter dem Sie sich
angemeldet haben.
-s (s - show) Die Attribute des Paßworts für Ihren Login-Namen wer-
den in folgender Form angezeigt:
Login-Name Zustand MM/TT/JJ Minimum Maximum Warnung
oder, falls keine zeitlichen Bedingungen eingestellt sind:
Login-Name Zustand
Dabei bedeutet:
Login-Name
Login-Name, unter dem sich der Benutzer angemeldet hat.
Zustand
Der augenblickliche Zustand des Paßworts des Benutzers: PS
bedeutet, daß der Login-Name mit einem Paßwort versehen oder
gesperrt ist; LK bedeutet, daß der Name gesperrt ist; NP
bedeutet, daß kein Paßwort eingetragen ist.
MM/TT/JJ
Datum der letzten Änderung des Paßworts für Login-Name.
Diese Angaben werden in UTC/GMT (Greenwich Mean Time) ausge-
drückt und können daher um bis zu einen Tag von anderen
Zeitzonen abweichen.
Minimum
Gibt an, wieviele Tage zwischen zwei Änderungen des Paßworts
für Login-Name mindestens verstreichen müssen. Standard ist
der Wert MINWEEKS aus der Datei /etc/default/passwd.
Maximum
Gibt an, wieviele Tage das Paßwort höchstens gelten soll.
Standard ist der Wert MAXWEEKS aus der Datei
/etc/default/passwd.
Warnung
Gibt an, wieviele Tage vor dem Auslaufen des Paßworts der
Benutzer gewarnt werden soll.
Seite 3 Reliant UNIX 5.44 Gedruckt 11/98
passwd(1) passwd(1)
Die folgenden Optionen können nur vom Systemverwalter benutzt werden:
-l (l - lock) Das Paßwort für loginname wird gesperrt.
-d (d - delete) Das Paßwort für loginname wird gelöscht. Es wird
beim Anmelden kein Paßwort abgefragt.
Vorsicht:
Wenn der Systemverwalter ein Paßwort für einen Benutzer mit der
Option -d gelöscht hat und die zeitliche Überprüfung für diesen
Benutzer eingeschaltet ist, kann der Benutzer kein neues Paßwort
mehr eingeben. Dies gilt auch, wenn der Eintrag PASSREQ in der
Datei /etc/login/default den Wert YES hat. Der Benutzer hat daher
kein Paßwort mehr. Deshalb sollten Sie die Option -d immer mit
der Option -f anwenden. Damit wird der Benutzer gezwungen, sein
Paßwort bei der nächsten Anmeldung zu ändern.
-n min
Zwischen zwei Änderungen des Paßworts müssen mindestens min Tage
verstreichen. Ist min größer als max, kann der Benutzer das Paß-
wort nicht ändern. -n sollte immer zusammen mit der Option -x
verwendet werden, es sei denn, max wurde auf den Wert -1 gesetzt
(keine zeitliche Überprüfung). In diesem Fall muß min nicht
gesetzt werden.
-x max
Das Paßwort für loginname ist höchstens max Tage gültig. Falls
max den Wert -1 hat, wird die zeitliche Überprüfung für
loginname sofort ausgeschaltet. Falls max den Wert 0 hat, wird
die zeitliche Überprüfung ausgeschaltet und der Benutzer muß beim
nächsten Anmelden sein Paßwort ändern (Achtung: dies funktioniert
nur einmal innerhalb von 24 Stunden).
-w warn
Der Benutzer wird warn Tage, bevor sein Paßwort ungültig wird,
gewarnt.
-a (a - all) Die Eigenschaften der Paßwörter werden für alle Ein-
träge aufgelistet. Verwenden Sie -a nur zusammen mit -s.
loginname muß in diesem Fall nicht angegeben werden.
-f (f - force) Das Paßwort für loginname wird ungültig. Der Benut-
zer muß beim nächsten Anmelden das Paßwort ändern.
loginname
Ist der Login-Name, dem das neue Paßwort zugeordnet werden soll.
Dieser Operand ist nur für den Systemverwalter sinnvoll. Wenn Sie
nicht der Systemverwalter sind, können Sie nur Ihren eigenen
Login-Namen angeben.
Seite 4 Reliant UNIX 5.44 Gedruckt 11/98
passwd(1) passwd(1)
loginname nicht angegeben:
passwd ändert das Paßwort für den aktuellen Login-Namen.
ENDESTATUS
0 Bei Erfolg.
1 Zugriff verweigert.
2 Unzulässige Kombination der Optionen.
3 Ein unerwarteter Fehler ist aufgetreten. Die Paßwortdatei wurde
nicht verändert.
4 Ein unerwarteter Fehler ist aufgetreten. Die Paßwortdatei wurde
nicht gefunden.
5 Die Paßwortdatei wird gerade bearbeitet. Versuchen Sie es später
noch einmal.
6 Für eine Option wurde ein unzulässiges Argument übergeben.
FEHLERMELDUNGEN
passwd: xxx does not exist.
Es gibt für diesen Login-Namen keinen Eintrag in der Datei
/etc/passwd.
passwd: Permission denied.
Sie dürfen das Paßwort für den angegebenen Login-Namen nicht
ändern. Nur der Systemverwalter darf Paßwörter für andere Login-
Namen als den eigenen ändern.
Sorry.
Sie haben das angeforderte alte Paßwort falsch eingegeben.
Password unchanged.
Das Paßwort konnte nicht geändert werden.
Password must contain at least two alphabetic characters and at least
one numeric or special character.
Das Paßwort muß mindestens zwei nicht numerische Zeichen enthal-
ten.
Password is too short - must be at least 6 characters.
Sie werden aufgefordert, ein längeres Paßwort einzugeben.
Seite 5 Reliant UNIX 5.44 Gedruckt 11/98
passwd(1) passwd(1)
Too many failures - try later.
Sie haben dreimal erfolglos versucht, Ihr Paßwort zu ändern. Ihr
Paßwort genügt den Anforderungen nicht. Geben Sie ein neues Paß-
wort ein.
Password must differ by at least 3 positions.
Ihr neues Paßwort muß sich vom alten an mindestens drei Stellen
unterscheiden.
password file busy - try again.
Der Systemverwalter bearbeitet gerade die Paßwortdatei. Um Inkon-
sistenzen zu vermeiden, müssen Sie warten, bis die Datei wieder
freigegeben wird.
INTERNATIONALE UMGEBUNG
Die Umgebungsvariable LCMESSAGES bestimmt die Sprache der Meldungs-
texte.
LCCTYPE bestimmt die Zeichenklassen und die Zeichenkonvertierung.
Die Umgebungsvariable LCTIME bestimmt das Format der Datums- und Zei-
tangaben.
Wenn LCMESSAGES, LCCTYPE oder LCTIME nicht oder als leere Zeichen-
kette definiert ist, wird der Wert von LANG als Standardwert für die
jeweils nicht gesetzte oder leere Variable herangezogen. Ist auch LANG
nicht oder als leere Zeichenkette definiert, verhält sich das System
so, als wäre es nicht internationalisiert.
Die Umgebungsvariable LCALL bestimmt die gesamte internationale Umge-
bung. LCALL hat Vorrang vor allen anderen Umgebungsvariablen im
Bereich der Internationalisierung.
Hat eine der Variablen für die internationale Umgebung einen ungülti-
gen Wert, verhält sich das System so, als wäre keine Variable gesetzt.
Es wird empfohlen, für Login-Namen und Paßwörter nur Zeichen aus dem
für portable Dateinamen vereinbarten Zeichensatz (Portable Filename
Character Set) zu verwenden. 8-Bit-Daten sind unter Umständen nicht
portabel zu nicht internationalisierten Systemen.
BEISPIELE
Der Benutzer alibaba, der am Rechner sesam arbeitet, möchte sein Paß-
wort sim!salabim ändern. Das neue Paßwort soll oeffne!dich heißen:
$ passwd
passwd: Changing password for alibaba
Old password: Blinde Eingabe von sim!salabim
New password: Blinde Eingabe von oeffne!dich
Seite 6 Reliant UNIX 5.44 Gedruckt 11/98
passwd(1) passwd(1)
Re-enter new password: Nochmalige blinde Eingabe von oeffne!dich
DATEIEN
/etc/passwd
Datei, in die die Login-Namen eingetragen werden.
/etc/default/passwd
Datei, die die Standardeinstellungen für passwd(1) enthält.
/etc/default/checkpasswd
Datei, die zusätzliche Einstellungen für passwd(1) enthält.
/etc/shadow
"Versteckte" Paßwort-Datei, die die verschlüsselten Paßwörter
enthält. Kein allgemeines Leserecht.
SIEHE AUCH
id(1), login(1), su(1), makedict(1M), passmgmt(1M), pwconv(1M),
useradd(1M), userdel(1M), usermod(1M), crypt(3C), checkpasswd(4),
defaultpasswd(4), passwd(4), shadow(4).
Seite 7 Reliant UNIX 5.44 Gedruckt 11/98