/usr/bin/passwd

passwd [options] [LOGIN]

passwd コマンドは、ユーザーアカウントのパスワードを変更する。一般ユーザは自分のアカウントのパスワードのみを変更することができ、スーパーユーザはすべてのアカウントのパスワードを変更することができる。

Password Changes

ユーザーはまず、古いパスワードがあれば、それを入力するよう促される。このパスワードは暗号化され、保存されているパスワードと比較される。ユーザーは正しいパスワードを入力するチャンスを一度だけ得ることができる。スーパーユーザーは、忘れたパスワードを変更できるように、このステップを回避することが許可されている。

パスワードが入力された後、パスワードの老化情報がチェックされ、ユーザーが現時点でパスワードを変更することが許可されているかどうかが確認される。もしそうでなければ、passwdはパスワードの変更を拒否し、終了する。

その後、ユーザーは代替パスワードの入力を2回要求される。2回目の入力は1回目の入力と比較され、パスワードが変更されるためには、両方が一致することが要求される。

次に、パスワードの複雑さがテストされる。一般的なガイドラインとして、パスワードは以下の各文字セットから1つ以上の文字を含む、6文字から8文字で構成されるべきである。

• 小文字のアルファベット

• digits 0 - 9

• 句読点

システムデフォルトの消去文字や強制終了文字が含まれないように注意する必要がある。

Hints for user passwords

パスワードの安全性は、暗号化アルゴリズムの強度と鍵空間の大きさに依存する。レガシーな UNIX システムの暗号化方式は NBS DES アルゴリズムに基づいている。現在ではより新しい方法が推奨されている(ENCRYPT_METHOD参照)。鍵空間の大きさは、選択されるパスワードのランダム性に依存する。

パスワードの安全性は、通常、不注意なパスワードの選択または取り扱いによって損なわれる。このため、辞書に載っているようなパスワードや、書き留めなければならないようなパスワードは選択しない方がよい。また、固有名詞、免許証番号、生年月日、住所などもパスワードに含めないようにする。これらのパスワードは、推測されてシステムのセキュリティが破られる可能性がある。

強力なパスワードの選び方については、http://en.wikipedia.org/wiki/Password_strength でアドバイスしている。

passwdコマンドに適用されるオプションは次のとおり:

-a, --all

このオプションは-Sと一緒に使うことができ、すべてのユーザのステータスを表示するようになる。

-d, --delete

ユーザーのパスワードを削除する(空にする)。これは、あるアカウントのパスワードを無効にする簡単な方法である。これは、指定されたアカウントのパスワードを無効にする。

-e, --expire

アカウントのパスワードを即座に期限切れにする。これは、事実上、ユーザーの次のログイン時にパスワードを変更するように強制することができる。

-h, --help

ヘルプメッセージを表示し、終了する。

-i, --inactive INACTIVE

このオプションは、パスワードの有効期限が切れてから何日か経った後に、 アカウントを無効にするために使用される。ユーザーアカウントに有効期限が切れたパスワードがINACTIVE日数経過すると、そのユーザーはそのアカウントにサインオンできなくなる。

-k, --keep-tokens

期限切れの認証トークン（パスワード）に対してのみパスワード変更を行うことを示す。 ユーザは、期限切れでないトークンを以前と同様に保持することを希望している。

-l, --lock

指定したアカウントのパスワードをロックする。このオプションは、パスワードを暗号化された値と一致しない値に変更することで、 パスワードを無効にする (パスワードの先頭に ´!´ が追加される)。

これはアカウントを無効にするわけではないことに注意すること。ユーザーは別の認証トークン (例: SSH 鍵) を使ってまだログインできるかもしれない。このアカウントを無効にするには、管理者は usermod --expiredate 1 (この設定はアカウントの有効期限を1970年1月2日に設定する) を使用する必要がある。

パスワードがロックされたユーザーは、パスワードを変更することができない。

-n, --mindays MIN_DAYS

パスワードを変更する間の最小日数をMIN_DAYSに設定します。このフィールドの値が 0 の場合、ユーザーはいつでもパスワードを変更できることを示す。

-q, --quiet

クワイエットモードにする。

-r, --repository REPOSITORY

REPOSITORY リポジトリのパスワードを変更する

-R, --root CHROOT_DIR

CHROOT_DIR ディレクトリの変更を適用し、CHROOT_DIR ディレクトリの設定ファイルを使用する。

-S, --status

アカウントのステータス情報を表示す。ステータス情報は7つのフィールドから構成されている。最初のフィールドは、ユーザーのログイン名である。2番目のフィールドは、そのユーザアカウントのパスワードがロックされているか (L)、パスワードがないか (NP)、または使用可能なパスワードがあるか (P) を示している。3番目のフィールドは、最後にパスワードが変更された日付である。次の4つのフィールドは、パスワードの最小年齢、最大年齢、警告期間、および非アクティブ期間である。これらの年齢は日数で表される。

-u, --unlock

指定されたアカウントのパスワードのロックを解除する。このオプションは、パスワードを以前の値 (-l オプションを使用する前の値) に戻すことで、パスワードを再び有効にする。

-w, --warndays WARN_DAYS

パスワードの変更が必要になるまでの警告の日数を設定します。WARN_DAYS オプションは、パスワードの有効期限が切れる前に警告を発する日数である。

-x, --maxdays MAX_DAYS

パスワードが有効であり続ける最大日数を設定します。MAX_DAYSを過ぎると、パスワードの変更が必要となる。

MAX_DAYS に数値 -1 を渡すと、パスワードの有効性チェックが行われなくなる。

パスワードの複雑さのチェックは、サイトによって異なる場合がある。ユーザーは、自分が心地よいと感じる程度の複雑なパスワードを選択することが望まれる。

NIS が有効で、NIS サーバーにログインしていない場合、ユーザーはシステム上でパス ワードを変更できないことがある。

passwd は、PAM を使用してユーザーを認証し、パスワードを変更する。

/etc/passwd

ユーザアカウント情報

/etc/shadow

セキュアユーザアカウント情報

/etc/pam.d/passwd

passwdのPAM configuration

passwd コマンドは次の値を返却し終了する。

0

成功

1

パーミッション拒否

2

不正なオプションの組み合わせ

3

予期しないエラー、何もしない

4

予期しないエラー、passwd fileが間違っている

5

passwd file が、busy。再度リトライ

6

オプションの不正な引数

chpasswd, passwd, shadow, usermod