PASSWD
Section: User Commands (1)
Page Index
名前
passwd - ユーザパスワードを変更する
書式
passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]
説明
Passwd はユーザアカウント・グループアカウントのパスワードを変更する。
Passwd は
Linux-PAM と Libuser APIを通して機能するように設定されている。
Passwd は "passwd" サービスとして
Linux-PAM
で初期化し認証するために、設定した
password
モジュールを使用する。その後、ユーザのパスワードを更新する。
Linux-PAM
設定ファイルの簡単なエントリは以下に記述する。
#
# passwd service entry that does strength checking of
# a proposed password before updating it.
#
passwd password requisite \
/usr/lib/security/pam_cracklib.so retry=3
passwd password required \
/usr/lib/security/pam_unix.so use_authtok
#
注意: 他のモジュールタイプはこのプログラムを適切に機能させるためには必要ない。
オプション
- -k
-
オプション
-k
は失効した認証トークン(パスワード)だけを更新する事を指す。ユーザが失効前のトークンをそのまま使用したい場合。
- -l
-
このオプションは特定のアカウントをロックしたい場合に使用され、root のみ使用可能。ロックは暗号化されたパスワードを不正な文字列として処理する(暗号化されたパスワードの前に!を付ける)事で実行される。
- --stdin
-
このオプションは passwd が標準入力から新しいパスワードを読み込む場合を指す。パイプからでも可能である。
- -u
-
このオプションは -l オプションの逆である。プレフィックス ! を削除する事によってアカウントのパスワードを解除する。root のみ使用可能。
標準では passwd はパスワードが無いアカウントを拒否する("!" のみパスワードとしている場合はアカウントを解除しない)。強制オプション -f はこの保護を無効にする。
- -d
-
このオプションはアカウントのパスワードを無効にするための手早い方法である。指定のアカウントをパスワードなしに設定する。root のみ使用可能。
- -e
-
このオプションはアカウントのパスワードの有効期間を無効にするための手早い方法である。該当のユーザーは次回ログイン時にパスワードの変更を求められる。root のみ使用可能。
- -f
-
このオプションは同時に指定したオプションを強制実行する。
- -n
-
このオプションはユーザのアカウントがパスワード有効期限に対応している場合、パスワード変更後に再度変更が可能になるまでを日単位で設定する。root のみ使用可能。
- -x
-
このオプションはユーザのアカウントがパスワード有効期限に対応している場合、パスワード有効期間を日単位で設定する。root のみ使用可能。
- -w
-
このオプションはユーザのアカウントがパスワード有効期限に対応している場合、パスワード失効前に、ユーザへ警告を日単位で予告するために設定する。root のみ使用可能。
- -i
-
このオプションはユーザのアカウントがパスワード有効期限に対応している場合、パスワードが有効期限に達して無効とすべき場合、パスワードを無効にするまでの猶予期間を日単位で設定する。root のみ使用可能。
訳注:指定した日数を超えてパスワード期限切れ状態のままにすると、
ユーザはそのアカウントに入れなくなる。
- -S
-
このオプションはアカウントのパスワードの状態について短い情報を出力する。rootのみ使用可能。
下記の2原則を忘れるな
- パスワードを保護せよ。
-
パスワードを書かずに記憶せよ。
特に、パスワードをメモした紙をそこかしこに放置してはいけない。暗号化されていないファイルに記入してはいけない。他組織によって制御されているシステムとは無関係のパスワードを使用せよ。
特にコンピュータサポートやベンダーと名乗る者には、自分のパスワードを共有、付与してはいけない。
パスワードを入力しているのを誰かにのぞかれてはいけない。
信頼できないコンピュータにパスワードを入力してはいけない。また、何かが「怪しい」 場合、誰かがパスワードをハイジャックしようとしているかもしれない。
パスワードを特定期間のみ使用し、定期的に変更せよ。
- 予測困難なパスワードを選択せよ。
-
passwd
は本当に悪いパスワードを選択する事を阻止しようとするが、絶対安全ではない。賢くパスワードを作成せよ。辞書に載っているものを使用してはいけない(いかなる言語、専門用語であってもいけない)。名前(配偶者、親、子、ペット、ファンタシーのキャラクタ、有名人、地名)、または自分に関連するあらゆる個人的な名前や、アカウント名を使用してはいけない。入手可能な(電話番号、車のナンバー、または社会保障番号)個人情報や自分をとりまく環境の情報を使用してはいけない。
誕生日や単純なパターン(例として
qwerty abc または aaa
)を使用してはいけない。それらの逆読みに前後して続けて数字を使用してはいけない。そうせず、大文字、小文字、数字、または句読点を混ぜて使用せよ。新規のパスワードを選択する際には今まで使用してきたどのパスワードにも関連ないように注意する。長いパスワード(例えば8文字)を使用せよ。単語のペアを句読点と一緒にしたり、パスフレーズ(理解可能な複数の単語のシーケンス)、または各パスフレーズの頭文字を使用しても良い。
これら原則の一部はシステムによって強制されているが、一部のみである。自分の方でも気をつける事がシステムをよりセキュアにすることが可能になる。
返り値
目的を成功して終了した後に
passwd
は返り値 0 を出力して終了する。返り値 1 はエラーが発生したことを意味する。エラーメッセージは標準エラー出力に出力される。
準拠
Linux-PAM
(Linux の Pluggable Authentication モジュール)。
注意。使用しているディストリビューションの Linux-PAM がLinuxファイルシステム標準に準拠している場合、例示した様に、/usr/lib/security/ ではなく、
/lib/security/
にモジュールがある。
ファイル
/etc/pam.d/passwd
- the
Linux-PAM
設定ファイル
バグ
既知のバグは無い。
関連事項
pam(8),
pam.d(5),
libuser.conf(5),
と
pam_chauthtok(3)。
Linux-PAM
にてこのプログラムを設定するためのまとまった情報は、
/usr/share/doc/pam...
にある
Linux-PAM System Administrators' Guide を
参照のこと。
著者
Cristian Gafton <
gafton@redhat.com>