'\" t .\" Title: passwd .\" Author: Julianne Frances Haugh .\" Generator: DocBook XSL Stylesheets v1.76.1 .\" Date: 05/25/2012 .\" Manual: Пользовательские команды .\" Source: shadow-utils 4.1.5.1 .\" Language: Russian .\" .TH "passwd" "1" "05/25/2012" "shadow\-utils 4\&.1\&.5\&.1" "Пользовательские команды" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "ИМЯ" passwd \- изменяет пароль пользователя .SH "СИНОПСИС" .HP \w'\fBpasswd\fR\ 'u \fBpasswd\fR [\fIпараметры\fR] [\fIУЧЁТНАЯ_ЗАПИСЬ\fR] .SH "ОПИСАНИЕ" .PP Программа \fBpasswd\fR изменяет пароли пользовательских учётных записей\&. Обычный пользователь может изменить пароль только своей учётной записи, суперпользователь может изменить пароль любой учётной записи\&. Программа \fBpasswd\fR также изменяет информацию об учётной записи или срок действия пароля\&. .SS "Изменение пароля" .PP Сначала пользователя попросят ввести старый пароль, если он был\&. Этот пароль зашифровывается и сравнивается с имеющимся\&. У пользователя есть только одна попытка ввести правильный пароль\&. Для суперпользователя этот шаг пропускается, для того чтобы можно было изменить забытый пароль\&. .PP После ввода пароля проверяется информация об устаревании пароля, чтобы убедиться, что пользователю разрешено изменять пароль в настоящий момент\&. Если нет, то \fBpasswd\fR не производит изменение пароля и завершает работу\&. .PP Затем пользователю предложат дважды ввести новый пароль\&. Значение второго ввода сравнивается с первым и для изменения пароли из обеих попыток должны совпасть\&. .PP Затем пароль тестируется на сложность подбора\&. Согласно общим принципам, пароли должны быть длиной от 6 до 8 символов и включать один или более символов каждого типа: .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} строчные буквы .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} цифры от 0 до 9 .RE .sp .RS 4 .ie n \{\ \h'-04'\(bu\h'+03'\c .\} .el \{\ .sp -1 .IP \(bu 2.3 .\} знаки пунктуации .RE .PP Не включайте системные символы стирания и удаления\&. Программа \fBpasswd\fR не примет пароль, который не имеет достаточной сложности\&. .SS "Выбор пароля" .PP Безопасность пароля зависит от стойкости алгоритма шифрования и размера пространства ключа\&. В старых системах \fIUNIX\fR метод шифрования основывался на алгоритме NBS DES\&. Сейчас рекомендуют более новые методы (смотрите \fBENCRYPT_METHOD\fR)\&. Размер пространства ключа зависит от степени произвольности выбранного пароля\&. .PP При обеспечении безопасности пароля выбирают нечто среднее между сложным паролем и сложностью работы с ним\&. По этой причине, вы не должны использовать пароль, который является словом из словаря или который придётся записать из\-за его сложности\&. Также, пароль не должен быть названием чего\-либо, номером вашей лицензии, днём рождения и домашним адресом\&. Обо всём этом легко догадаться, что приведёт к нарушению безопасности системы\&. .PP О том, как выбрать стойкий пароль, читайте в http://ru\&.wikipedia\&.org/wiki/Сложность_пароля\&. .SH "ПАРАМЕТРЫ" .PP Параметры команды \fBpasswd\fR: .PP \fB\-a\fR, \fB\-\-all\fR .RS 4 Этот параметр можно использовать только вместе с \fB\-S\fR для вывода статуса всех пользователей\&. .RE .PP \fB\-d\fR, \fB\-\-delete\fR .RS 4 Удалить пароль пользователя (сделать его пустым)\&. Это быстрый способ заблокировать пароль учётной записи\&. Это сделает указанную учётную запись беспарольной\&. .RE .PP \fB\-e\fR, \fB\-\-expire\fR .RS 4 Немедленно сделать пароль устаревшим\&. В результате это заставит пользователя изменить пароль при следующем входе в систему\&. .RE .PP \fB\-h\fR, \fB\-\-help\fR .RS 4 Показать краткую справку и закончить работу\&. .RE .PP \fB\-i\fR, \fB\-\-inactive\fR \fIДНЕЙ\fR .RS 4 Этот параметр используется для блокировки учётной записи по прошествии заданного числа дней после устаревания пароля\&. То есть, если пароль устарел и прошло более указанных \fIДНЕЙ\fR, то пользователь больше не сможет использовать данную учётную запись\&. .RE .PP \fB\-k\fR, \fB\-\-keep\-tokens\fR .RS 4 Указывает, что изменение пароля нужно выполнить только для устаревших ключей аутентификации (паролей)\&. Пользователи хотят оставить свои непросроченные ключи нетронутыми\&. .RE .PP \fB\-l\fR, \fB\-\-lock\fR .RS 4 Заблокировать пароль указанной учётной записи\&. Этот параметр блокирует пароль, изменяя его значение на вариант, который не может быть шифрованным паролем (добавляется символ \(Fo!\(Fc в начало пароля)\&. .sp Заметим, что это не блокирует учётную запись\&. Пользователь всё ещё может войти в систему с помощью другого способа аутентификации (например, с помощью ключа SSH)\&. Чтобы заблокировать учётную запись, администратор должен использовать команду \fBusermod \-\-expiredate 1\fR (это установит дату устаревания учётной запись равной 2 января 1970 года)\&. .sp Посетитель с заблокированным паролем не может изменить свой пароль\&. .RE .PP \fB\-n\fR, \fB\-\-mindays\fR \fIМИН_ДНЕЙ\fR .RS 4 Задать \fIминимальное количество дней\fR между сменами пароля\&. Нулевое значение этого поля указывает на то, что пользователь может менять свой пароль когда захочет\&. .RE .PP \fB\-q\fR, \fB\-\-quiet\fR .RS 4 Не выводить сообщений при работе\&. .RE .PP \fB\-r\fR, \fB\-\-repository\fR \fIРЕПОЗИТОРИЙ\fR .RS 4 Изменить пароль в \fIРЕПОЗИТОРИИ\fR\&. .RE .PP \fB\-R\fR, \fB\-\-root\fR \fIКАТ_CHROOT\fR .RS 4 Выполнить изменения в каталоге \fIКАТ_CHROOT\fR и использовать файлы настройки из каталога \fIКАТ_CHROOT\fR\&. .RE .PP \fB\-S\fR, \fB\-\-status\fR .RS 4 Показать состояние учётной записи\&. Информация о состоянии содержит 7 полей\&. Первое поле содержит имя учётной записи\&. Второе поле указывает, заблокирован ли пароль учётной записи (L), она без пароля (NP) или у неё есть рабочий пароль (P)\&. Третье поле хранит дату последнего изменения пароля\&. В следующих четырёх полях хранятся минимальный срок, максимальный срок, период выдачи предупреждения и период неактивности пароля\&. Эти сроки измеряются в днях\&. .RE .PP \fB\-u\fR, \fB\-\-unlock\fR .RS 4 Разблокировать пароль указанной учётной записи\&. Этот параметр разблокирует пароль, возвращая его прежнее значение (которое было перед использованием параметра \fB\-l\fR)\&. .RE .PP \fB\-w\fR, \fB\-\-warndays\fR \fIПРЕД_ДНЕЙ\fR .RS 4 Установить число дней выдачи предупреждения, перед тем как потребуется смена пароля\&. В параметре \fIПРЕД_ДНЕЙ\fR указывается число дней перед тем как пароль устареет, в течении которых пользователю будут напоминать, что пароль скоро устареет\&. .RE .PP \fB\-x\fR, \fB\-\-maxdays\fR \fIМАКС_ДНЕЙ\fR .RS 4 Установить максимальное количество дней, в течении которых пароль остаётся рабочим\&. После \fIМАКС_ДНЕЙ\fR пароль нужно изменить\&. .RE .SH "ПРЕДОСТЕРЕЖЕНИЯ" .PP Сложность пароля проверяется на разных машинах по разному\&. Пользователю настоятельно рекомендуется выбирать пароль такой сложности, чтобы ему нормально работалось\&. .PP Пользователи не могут изменять свои пароли в системе, если включён NIS и они не вошли на сервер NIS\&. .SH "НАСТРОЙКА" .PP На работу этого инструмента влияют следующие переменные настройки из /etc/login\&.defs: .PP \fBENCRYPT_METHOD\fR (строка) .RS 4 Задаёт системный алгоритм шифрования по умолчанию для шифрования паролей (используется, если алгоритм не указан в командной строке)\&. .sp Возможны следующие значения: \fIDES\fR (по умолчанию), \fIMD5\fR, \fISHA256\fR, \fISHA512\fR\&. .sp Замечание: этот параметр переопределяет переменную \fBMD5_CRYPT_ENAB\fR\&. .RE .PP \fBMD5_CRYPT_ENAB\fR (логический) .RS 4 Обозначает, что пароль должен быть зашифрован по алгоритму на основе MD5\&. Если значение равно \fIyes\fR, то новые пароли будут зашифрованы по алгоритму на основе MD5, совместимому с используемым в новых версиях FreeBSD\&. Он поддерживает пароли неограниченной длины и имеет более длинную строку соли\&. Установите в \fIno\fR, если вам нужно копировать шифрованные пароли в другие системы, которые не поддерживают новый алгоритм\&. По умолчанию \fIno\fR\&. .sp Эта переменная переопределяется переменной \fBENCRYPT_METHOD\fR или любым параметром командной строки, который задаёт алгоритм шифрования\&. .sp Эта переменная устарела; используйте \fBENCRYPT_METHOD\fR\&. .RE .PP \fBOBSCURE_CHECKS_ENAB\fR (логический) .RS 4 Включает дополнительные проверки при смене пароля\&. .RE .PP \fBPASS_ALWAYS_WARN\fR (логический) .RS 4 Предупреждать о слабых паролях (но разрешать их использовать) для суперпользователя\&. .RE .PP \fBPASS_CHANGE_TRIES\fR (число) .RS 4 Максимальное количество попыток смены пароля (слишком простого) при непрохождении проверки\&. .RE .PP \fBPASS_MAX_LEN\fR (число), \fBPASS_MIN_LEN\fR (число) .RS 4 Количество значимых символов в пароле для crypt()\&. По умолчанию значение \fBPASS_MAX_LEN\fR равно 8\&. Не изменяйте, если ваш crypt() лучше\&. Игнорируется, если значение \fBMD5_CRYPT_ENAB\fR равно \fIyes\fR\&. .RE .PP \fBSHA_CRYPT_MIN_ROUNDS\fR (число), \fBSHA_CRYPT_MAX_ROUNDS\fR (число) .RS 4 Если значение \fBENCRYPT_METHOD\fR равно \fISHA256\fR или \fISHA512\fR, эта переменная определяет количество раундов SHA, используемых алгоритмом шифрования по умолчанию (если количество раундов не задано в командной строке)\&. .sp Увеличение количества раундов повышает сложность подбора пароля простым перебором\&. Но заметим, что при этом для аутентификации пользователей требуется большее количество процессорных ресурсов\&. .sp Если не задана, то libc выбирает значение количества раундов по умолчанию (5000)\&. .sp Значения должны лежать в диапазоне 1000\-999999999\&. .sp Если задано какое\-то одно значение \(em \fBSHA_CRYPT_MIN_ROUNDS\fR или \fBSHA_CRYPT_MAX_ROUNDS\fR \(em то будет использовано это значение\&. .sp Если \fBSHA_CRYPT_MIN_ROUNDS\fR > \fBSHA_CRYPT_MAX_ROUNDS\fR, то используется большее значение\&. .RE .SH "ФАЙЛЫ" .PP /etc/passwd .RS 4 содержит информацию о пользователях .RE .PP /etc/shadow .RS 4 содержит защищаемую информацию о пользователях .RE .PP /etc/login\&.defs .RS 4 содержит конфигурацию подсистемы теневых паролей .RE .SH "ВОЗВРАЩАЕМЫЕ ЗНАЧЕНИЯ" .PP Программа \fBpasswd\fR завершая работу, возвращает следующие значения: .PP \fI0\fR .RS 4 успешное выполнение .RE .PP \fI1\fR .RS 4 доступ запрещён .RE .PP \fI2\fR .RS 4 недопустимая комбинация параметров .RE .PP \fI3\fR .RS 4 неожиданная ошибка при работе, ничего не сделано .RE .PP \fI4\fR .RS 4 неожиданная ошибка при работе, отсутствует файл passwd .RE .PP \fI5\fR .RS 4 файл passwd занят другой программой, попробуйте ещё раз .RE .PP \fI6\fR .RS 4 недопустимое значение параметра .RE .SH "СМОТРИТЕ ТАКЖЕ" .PP \fBchpasswd\fR(8), \fBpasswd\fR(5), \fBshadow\fR(5), \fBlogin.defs\fR(5),\fBusermod\fR(8)\&.