Passwd
Autor
Nimi: Kaspar Kannik
Rühm: A21
Kuupäev: 04.12.2016
Sissejuhatus
Passwd on vahend, mida kasutatakse muutmaks kasutaja parooli. Tavakasutajane sisselogituna saab muuta ainult enda parooli. Süsteemi administraator ehk superuser ehk juurkasutaja saab muuta kõikide kasutajate paroole ning/või määrata, kuidas ja millal neid salasõnu kasutatakse. (Passwd Wikipedia)
Toimib ainult Unix (Linux, Solaris jne...) või Unixi sarnastel (OS X, BSD/OS jne...) operatsioonisüsteemidel. Passwd käsklust saab ka juurkasutaja kasutada, et muuta erinevaid atribuute, näiteks kui kaua antud salasõna sellel kasutajal kehtib.
Süntaks
Passwd [atribuut] [kasutajanimi]
Näited
Kui tavakasutaja tahab enda kasutajakonto parooli muuta, mille nimi on Mari:
| passwd |
Seejärel küsitakse kasutaja Mari käest tema praeguse parooli sisestamist:
| (current) UNIX password: |
Ning seejärel uue kasutajakonto parooli, mida tuleb kinnituseks sisestada veel ühe korra:
| Enter new UNIX password:
Retype new UNIX password: |
Kui tegu on süsteemi administraatoriga ehk juurkasutajaga ning on vaja muuta kolmanda osapoole salasõna, tuleb lisada ka kasutajanimi:
| sudo passwd Mari |
Kui tegu on juurkasutajaga siis tema kolmanda osapoole kasutaja parooli teadma ei pea.
Atribuudid
| -a, | --all | Toimib ainult kui kasutada atribuudiga -S ning see näitab parooli olekut kõikidel kasutajatel (toimib ainult juurkasutajana) |
| -d, | --delete | Eemaldab antud kasutaja parooli, kuid ei deaktiveeri kasutajat (toimib ainult juurkasutajana) |
| -e, | --expire | Koheselt määratud kasutaja parool kaotab kehtivuse, ning järgmine kord sisselogides peab kasutaja endale uue parooli määrama (toimib ainult juurkasutajana). |
| -h, | --help | Kuvab abi. |
| -i, | --inactive PAEVAD | Juhul kui kasutaja pole sisse loginud etteantud arv päevi(muutuja PAEVAD) kaotab tema kasutaja kehtivuse (toimib ainult juurkasutajana). |
| -k, | --keep-tokens | See atribuut näitab, et kasutaja parooli tuleks muuta ainult siis, kui salasõna on kaotanud kehtivuse (ainult juurkasutajana). |
| -l, | --lock | Lukustab kasutajakonto (toimib ainult juurkasutajana). |
| -n, | --mindays MIN_PAEVAD | Määrab minimaalse paroolide vahetuse aja päevades (muutuja MIN_PAEVAD). --mindays 0 tähendab seda, et kasutaja võib oma parool muuta igal ajal (toimib ainult juurkasutajana). |
| -q, | --quiet | Vaikne režiim, ehk käsklus passwd tegutseb ilma, et kuvaks kasutajatele mingit väljundit (toimib ainult juurkasutajana). |
| -R, | --root CHROOT_KAUST | Lisab kõik muudatused kausta chroot (muutuja CHROOT_KAUST) ning rakendab konfiguratsioonifaile chroot kaustast (toimib ainult juurkasutajana). |
| -S, | --status | Kuvab kasutajakonto staatuse.
(toimib ainult juurkasutajana) |
| -u, | --unlock | Teeb kasutaja uuesti aktiivseks. Vastand atribuudile -i (toimib ainult juurkasutajana). |
| -w, | --warndays PAEVADE_ARV | Tuletab kasutajale meelde, et tema parool on aegumas ettemääratud päevi varem (muutuja PAEVADE_ARV) (toimib ainult juurkasutajana). |
| -x, | --maxdays PAEVADE_ARV | Määrab päevade arvu mille mahus kasutaja parool kehtib (muutuja PAEVADE_ARV), ning peale seda peab kasutaja oma salasõna muutma (toimib ainult juurkasutajana) . |
(Computerhope)
--status atribuudi mõistmine
Kirjutades terminali käskluse
| sudo passwd -S |
kuvab kõikide kasutajate paroolidele määratud atribuudid.
Kasutades üleval toodud käsklust koos kasutajanimega,
| sudo passwd -S KASUTAJANIMI |
kuvatakse juurkasutajale antud kasutaja staatus, kus on näidatud, millised atribuudid on sellele kasutajakontole määratud. Võttes testkasutajaks järjekordselt Mari, trükitakse terminali järgmine käsklus:
| sudo passwd -S Mari |
See väljastab järgmise rea:
| Mari P 09/10/2016 0 99999 7 31 |
Väljundist saame näha, et P tähtistab seda, et kasutaja on parooliga kaitstud. Selle kasutaja salasõna aegub 09/10/2016. Väljund 0 näitab seda, et kasutaja Mari võib oma parooli muuta igal ajal ning peab muutma oma parooli iga 99999 päeva tagant. 7 on arv päevades, millal kuvatakse kasutajale Mari teade, et tema parool hakkab aeguma, ning oleks tark parool kiiremas korras ära muuta. Juhul kui Mari laseb oma paroolil aeguda, tühistatakse tema kasutaja 31 päeva möödudes. (Computerhope)
Süsteemifailid, mida passwd kasutab
| /etc/pam.d/passwd | PAM(Pluggable authentication modules) konfiguratsioon käsklusele passwd. (Linux-Pam) |
| /etc/shadow | Sisaldab krüpteeritud kasutajakonto paroole ning informatsiooni nende kohta. (die.net) |
| /etc/passwd | Sisaldab kasutajakonto informatsiooni. |
Juurkasutaja parooli taastamine
Juhul kui on juhtunud, et juurkasutaja õiguste parool on meelest läinud, siis käsklusega passwd on võimalik panna uus salasõna. Selleks peab olema füüsiline kättesaadavus masinale, mille juurkasutaja parooli seadistama hakkad.
Taaskäivitage masin ning oodake kuni kuvatakse GRUB bootloader. Sealt valige Advanced options for Ubuntu kui kasutate Ubuntu distributsiooni (vt. joonis 1) või OP. SÜSTEEMI NIMI (recovery mode) kui kasutate mõnda teist distributsiooni (vt. joonis 2).
Joonis 1. Ubuntu grub menüü. Autori koostatud.
Joonis 2. Debian menüü. Autori koostatud.
Olles jõudnud recovery menu-sse, liikuge väljale nimega root ehk juurkasutaja (vt. joonis 3).
Joonis 3. Recovery menu.Autori koostatud.
Järgnevalt kuvatakse teile konsool. Juurkasutaja parooli taastamiseks tuleb kõigepealt külge haakida kodukaust /. Järgnevalt tuleb konsooli kirjutada järgnev käsk:
| mount -rw -o remount / |
(Computerhope)
Kui see õnnestus, siis saab asuda muutma juurkasutaja parooli kasutades käsklust passwd. Kui muudetakse juurkasutaja parooli siis jääb kasutaja nimi tühjaks.
| passwd |
Seejärel küsitakse administraatori käest uut juurkasutaja parooli ning kinnituseks peab selle sisestama veel ühe korra:
| Enter new UNIX password:
Retype new UNIX password: |
Juhul kui vigu ei olnud, väljastatakse ekraanile järgmine teade:
| passwd: password updated successfully |
Taaskäivitage masin ning juurkasutajale on paigaldatud uus parool.
Kasutaja lukustamine ja avamine
Lukustamine
Juurkasutajal on võimalus lukustada kõikide kasutajate kontosid, seda tegevust ei saa teha tavakasutaja. Seda tegevust tehes muudetakse kasutajakonto parooli nii, et see ei vasta enam ühegi krüpteeritud parooliga (lisatakse "!" tähemärk parooli ette automaatselt). Teadma peab seda, et konto lukustamine ei ole sama, mis on konto likvideerimine ning konto omanikul on võimalus pääseda ligi kontole kasutades teisi autentimise viise(SSH võti). (Man7)
Süntaks:
| passwd -l KASUTAJAKONTO |
Kui konto lukustamine toimis, kuvatakse terminali aknale järgnev teade:
| Locking password for user KASUTAJAKONTO.
passwd: Success |
Avamine
Lukustatud kasutajat on samuti võimalus avada ainult juurkasutajal. See tegevus on vastand lukustamisele, ehk avab eelnevalt lukustatud kasutaja uuesti. passwd -u taastab uuesti esialgse krüpteeritud parooli.
Süntaks:
| passwd -u KASUTAJAKONTO |
Kui konto avamine õnnestus, kuvatakse terminali aknale järgnev teade:
| Unlocking password for user KASUTAJAKONTO.
passwd: Success |
passwd -s KASUTAJAKONTO on käsklus, millega saab kontrollida konto seisu, ehk kas konto on lukustatud või mitte, kas konto on parooliga kaitstud jne...(vaata täpsemalt --status atribuudi mõistmine)
Kasulikku
Kaitse oma parooli
Kõige lollikindlam viis on oma parool meelde jätta, mitte üles kirjutada. Ära märgi üles oma parooli füüsiliselt kaberkandjale ega ka virtuaalselt mittekrüpteeritud masinasse või kausta. Kasuta erinevate domeenide ja masinate juures erinevat parooli. Ära jaga oma salasõnu kellegagi. Ära sisesta oma paroole kohtadesse, millest sa ei ole teadlik. Vaheta oma parooli tihti!
Hea parool
Hea parool on midagi sellist, mis sulle meelde jääb, kuid ei ole mingi kindel sõna, mida võib leida sõnaraamatust, vahet pole, mis keeles. Ära võta salasõnaks kunagi endaga seotud asja või nime (koera, kassi nimi, laualambi nimi, mille kõrval sinu arvuti alati on jne...) Ära kasuta salasõnana kunagi informatsiooni, mis on avalikult kättesaadav (praegune elukoht, sünnipäev). Turvaline parool ei ole ka nime tagurpidi kirjutamine. Pigem vali parool, mis oleks vähemalt 8-10 tähemärki pikk, sisaldab nii suuri kui ka väikseid tähti, numbreid ja kirjavahemärke (kui süsteem lubab).
Kokkuvõte
Käsklus passwd on hea viis, kuidas lihtsalt ja kiirelt muuta enda kasutaja parooli. Samuti juurkasutajale või süsteemi administraatorile on see lahendus, kuidas väljavalitud kasutajate paroole mugavalt hallata. Paroolid peaksid olema kasutusel igal kontol, ning passwd atribuudid võimaldavad luua lisa turvalisust süsteemile ja kasutajatele.
