Passwd

From EIK wiki

Autor

Nimi: Kaspar Kannik
Rühm: A21
Kuupäev: 04.12.2016

Sissejuhatus

Passwd on vahend, mida kasutatakse muutmaks kasutaja parooli. Tavakasutajane sisselogituna saab muuta ainult enda parooli. Süsteemi administraator ehk superuser ehk juurkasutaja saab muuta kõikide kasutajate paroole ning/või määrata, kuidas ja millal neid salasõnu kasutatakse. (Passwd Wikipedia)

Toimib ainult Unix (Linux, Solaris jne...) või Unixi sarnastel (OS X, BSD/OS jne...) operatsioonisüsteemidel. Passwd käsklust saab ka juurkasutaja kasutada, et muuta erinevaid atribuute, näiteks kui kaua antud salasõna sellel kasutajal kehtib.

Süntaks

Passwd [atribuut] [kasutajanimi]

Näited

Kui tavakasutaja tahab enda kasutajakonto parooli muuta, mille nimi on Mari:

passwd

Seejärel küsitakse kasutaja Mari käest tema praeguse parooli sisestamist:

(current) UNIX password:

Ning seejärel uue kasutajakonto parooli, mida tuleb kinnituseks sisestada veel ühe korra:

Enter new UNIX password:

Retype new UNIX password:

Kui tegu on süsteemi administraatoriga ehk juurkasutajaga ning on vaja muuta kolmanda osapoole salasõna, tuleb lisada ka kasutajanimi:

sudo passwd Mari

Kui tegu on juurkasutajaga siis tema kolmanda osapoole kasutaja parooli teadma ei pea.

Atribuudid

-a, --all Toimib ainult kui kasutada atribuudiga -S ning see näitab parooli olekut kõikidel kasutajatel (toimib ainult juurkasutajana)
-d, --delete Eemaldab antud kasutaja parooli, kuid ei deaktiveeri kasutajat (toimib ainult juurkasutajana)
-e, --expire Koheselt määratud kasutaja parool kaotab kehtivuse, ning järgmine kord sisselogides peab kasutaja endale uue parooli määrama (toimib ainult juurkasutajana).
-h, --help Kuvab abi.
-i, --inactive PAEVAD Juhul kui kasutaja pole sisse loginud etteantud arv päevi(muutuja PAEVAD) kaotab tema kasutaja kehtivuse (toimib ainult juurkasutajana).
-k, --keep-tokens See atribuut näitab, et kasutaja parooli tuleks muuta ainult siis, kui salasõna on kaotanud kehtivuse (ainult juurkasutajana).
-l, --lock Lukustab kasutajakonto (toimib ainult juurkasutajana).
-n, --mindays MIN_PAEVAD Määrab minimaalse paroolide vahetuse aja päevades (muutuja MIN_PAEVAD). --mindays 0 tähendab seda, et kasutaja võib oma parool muuta igal ajal (toimib ainult juurkasutajana).
-q, --quiet Vaikne režiim, ehk käsklus passwd tegutseb ilma, et kuvaks kasutajatele mingit väljundit (toimib ainult juurkasutajana).
-R, --root CHROOT_KAUST Lisab kõik muudatused kausta chroot (muutuja CHROOT_KAUST) ning rakendab konfiguratsioonifaile chroot kaustast (toimib ainult juurkasutajana).
-S, --status Kuvab kasutajakonto staatuse.
  • Kasutajanimi
  • Parooli kasutus (L - kasutaja parool on lukus; NP - parool puudub; P - kasutaja on parooliga kaitstud)
  • Viimane parooli vahetuse kuupäev
  • Miinimum parooli iga
  • Maksimum parooli iga
  • Paroolivahetuse hoiatusperioodi aeg
  • Parooli kehtetuna oleku aeg

(toimib ainult juurkasutajana)

-u, --unlock Teeb kasutaja uuesti aktiivseks. Vastand atribuudile -i (toimib ainult juurkasutajana).
-w, --warndays PAEVADE_ARV Tuletab kasutajale meelde, et tema parool on aegumas ettemääratud päevi varem (muutuja PAEVADE_ARV) (toimib ainult juurkasutajana).
-x, --maxdays PAEVADE_ARV Määrab päevade arvu mille mahus kasutaja parool kehtib (muutuja PAEVADE_ARV), ning peale seda peab kasutaja oma salasõna muutma (toimib ainult juurkasutajana) .

(Computerhope)

--status atribuudi mõistmine

Kirjutades terminali käskluse

sudo passwd -S

kuvab kõikide kasutajate paroolidele määratud atribuudid.

Kasutades üleval toodud käsklust koos kasutajanimega,

sudo passwd -S KASUTAJANIMI

kuvatakse juurkasutajale antud kasutaja staatus, kus on näidatud, millised atribuudid on sellele kasutajakontole määratud. Võttes testkasutajaks järjekordselt Mari, trükitakse terminali järgmine käsklus:

sudo passwd -S Mari

See väljastab järgmise rea:

Mari P 09/10/2016 0 99999 7 31


Väljundist saame näha, et P tähtistab seda, et kasutaja on parooliga kaitstud. Selle kasutaja salasõna aegub 09/10/2016. Väljund 0 näitab seda, et kasutaja Mari võib oma parooli muuta igal ajal ning peab muutma oma parooli iga 99999 päeva tagant. 7 on arv päevades, millal kuvatakse kasutajale Mari teade, et tema parool hakkab aeguma, ning oleks tark parool kiiremas korras ära muuta. Juhul kui Mari laseb oma paroolil aeguda, tühistatakse tema kasutaja 31 päeva möödudes. (Computerhope)

Süsteemifailid, mida passwd kasutab

/etc/pam.d/passwd PAM(Pluggable authentication modules) konfiguratsioon käsklusele passwd. (Linux-Pam)
/etc/shadow Sisaldab krüpteeritud kasutajakonto paroole ning informatsiooni nende kohta. (die.net)
/etc/passwd Sisaldab kasutajakonto informatsiooni.

Juurkasutaja parooli taastamine

Juhul kui on juhtunud, et juurkasutaja õiguste parool on meelest läinud, siis käsklusega passwd on võimalik panna uus salasõna. Selleks peab olema füüsiline kättesaadavus masinale, mille juurkasutaja parooli seadistama hakkad.

Taaskäivitage masin ning oodake kuni kuvatakse GRUB bootloader. Sealt valige Advanced options for Ubuntu kui kasutate Ubuntu distributsiooni (vt. joonis 1) või OP. SÜSTEEMI NIMI (recovery mode) kui kasutate mõnda teist distributsiooni (vt. joonis 2).

Grubjoonis1.png
Joonis 1. Ubuntu grub menüü. Autori koostatud.


Debianjoonis2.png
Joonis 2. Debian menüü. Autori koostatud.


Olles jõudnud recovery menu-sse, liikuge väljale nimega root ehk juurkasutaja (vt. joonis 3).
Recmenu.png
Joonis 3. Recovery menu.Autori koostatud.


Järgnevalt kuvatakse teile konsool. Juurkasutaja parooli taastamiseks tuleb kõigepealt külge haakida kodukaust /. Järgnevalt tuleb konsooli kirjutada järgnev käsk:

mount -rw -o remount /

(Computerhope)


Kui see õnnestus, siis saab asuda muutma juurkasutaja parooli kasutades käsklust passwd. Kui muudetakse juurkasutaja parooli siis jääb kasutaja nimi tühjaks.

passwd

Seejärel küsitakse administraatori käest uut juurkasutaja parooli ning kinnituseks peab selle sisestama veel ühe korra:

Enter new UNIX password:

Retype new UNIX password:

Juhul kui vigu ei olnud, väljastatakse ekraanile järgmine teade:

passwd: password updated successfully

Taaskäivitage masin ning juurkasutajale on paigaldatud uus parool.

Kasutaja lukustamine ja avamine

Lukustamine

Juurkasutajal on võimalus lukustada kõikide kasutajate kontosid, seda tegevust ei saa teha tavakasutaja. Seda tegevust tehes muudetakse kasutajakonto parooli nii, et see ei vasta enam ühegi krüpteeritud parooliga (lisatakse "!" tähemärk parooli ette automaatselt). Teadma peab seda, et konto lukustamine ei ole sama, mis on konto likvideerimine ning konto omanikul on võimalus pääseda ligi kontole kasutades teisi autentimise viise(SSH võti). (Man7)


Süntaks:

passwd -l KASUTAJAKONTO

Kui konto lukustamine toimis, kuvatakse terminali aknale järgnev teade:

Locking password for user KASUTAJAKONTO.

passwd: Success

Avamine

Lukustatud kasutajat on samuti võimalus avada ainult juurkasutajal. See tegevus on vastand lukustamisele, ehk avab eelnevalt lukustatud kasutaja uuesti. passwd -u taastab uuesti esialgse krüpteeritud parooli.

Süntaks:

passwd -u KASUTAJAKONTO

Kui konto avamine õnnestus, kuvatakse terminali aknale järgnev teade:

Unlocking password for user KASUTAJAKONTO.

passwd: Success

passwd -s KASUTAJAKONTO on käsklus, millega saab kontrollida konto seisu, ehk kas konto on lukustatud või mitte, kas konto on parooliga kaitstud jne...(vaata täpsemalt --status atribuudi mõistmine)

Kasulikku

Kaitse oma parooli

Kõige lollikindlam viis on oma parool meelde jätta, mitte üles kirjutada. Ära märgi üles oma parooli füüsiliselt kaberkandjale ega ka virtuaalselt mittekrüpteeritud masinasse või kausta. Kasuta erinevate domeenide ja masinate juures erinevat parooli. Ära jaga oma salasõnu kellegagi. Ära sisesta oma paroole kohtadesse, millest sa ei ole teadlik. Vaheta oma parooli tihti!

Hea parool

Hea parool on midagi sellist, mis sulle meelde jääb, kuid ei ole mingi kindel sõna, mida võib leida sõnaraamatust, vahet pole, mis keeles. Ära võta salasõnaks kunagi endaga seotud asja või nime (koera, kassi nimi, laualambi nimi, mille kõrval sinu arvuti alati on jne...) Ära kasuta salasõnana kunagi informatsiooni, mis on avalikult kättesaadav (praegune elukoht, sünnipäev). Turvaline parool ei ole ka nime tagurpidi kirjutamine. Pigem vali parool, mis oleks vähemalt 8-10 tähemärki pikk, sisaldab nii suuri kui ka väikseid tähti, numbreid ja kirjavahemärke (kui süsteem lubab).

Kokkuvõte

Käsklus passwd on hea viis, kuidas lihtsalt ja kiirelt muuta enda kasutaja parooli. Samuti juurkasutajale või süsteemi administraatorile on see lahendus, kuidas väljavalitud kasutajate paroole mugavalt hallata. Paroolid peaksid olema kasutusel igal kontol, ning passwd atribuudid võimaldavad luua lisa turvalisust süsteemile ja kasutajatele.

Kasutatud kirjandus