Scroll to navigation

CHPASSWD(8) Befehle zur Systemverwaltung CHPASSWD(8)

NAME

chpasswd - aktualisiert Passwörter im Batch-Modus

SYNOPSIS

chpasswd [Optionen]

BESCHREIBUNG

Der Befehl chpasswd liest eine Liste von Benutzername-Passwort-Paaren von der Standardeingabe. Damit werden Benutzerdaten aktualisiert. Jede Zeile muss folgendes Format haben:

Benutzername:Passwort

Das Passwort muss standardmäßig im Klartext angegeben werden und von chpasswd verschlüsselt. Soweit vorhanden, wird auch das Alter des Passworts aktualisiert.

Der standardmäßige Verschlüsselungsalgorithmus kann systemweit mit den Variablen ENCRYPT_METHOD oder MD5_CRYPT_ENAB in /etc/login.defs definiert werden. Dieser kann mit den Optionen -e, -m oder -c überschrieben werden.

chpasswd aktualisiert zunächst alle Passwörter im Arbeitsspeicher und schreibt dann die Änderungen auf das Speichermedium, falls keine Fehler aufgetreten sind.

Dieser Befehl ist für den Einsatz in großen Umgebungen vorgesehen, in der viele Konten gleichzeitig erstellt werden müssen.

OPTIONEN

Die Optionen, die vom Befehl chpasswd unterstützt werden, sind:

-c, --crypt-methodMETHODE

Definiert die Methode, mit der die Passwörter verschlüsselt werden.

Die verfügbaren Methoden sind DES, MD5, NONE und SHA256 oder SHA512, soweit Ihre libc sie unterstützt.

Standardmäßig (wenn keine der Optionen -c, -m oder -e angegeben wird) wird die Verschlüsselungsmethode durch die Variablen ENCRYPT_METHOD oder MD5_CRYPT_ENAB in /etc/login.defs bestimmt.

-e, --encrypted

Passwörter werden verschlüsselt angegeben.

-h, --help

zeigt die Hilfe an und beendet das Programm

-m, --md5

werwendet zur Verschlüsselung MD5 anstelle von DES, wenn die Passwörter unverschlüsselt angegeben werden

-R, --rootCHROOT_VERZ

führt die Veränderungen in dem Verzeichnis CHROOT_VERZ durch und verwendet die Konfigurationsdateien aus dem Verzeichnis CHROOT_VERZ

-s, --sha-roundsRUNDEN

Verwendet die angegebene Anzahl von Runden, um die Passwörter zu verschlüsseln.

Ein Wert von 0 bedeutet, dass das System die Standardanzahl der Runden (5000) für die Verschlüsselung verwenden wird.

Der Mindestwert ist 1000, der Höchstwert 999.999.999.

Sie können diese Option nur mit den Verschlüsselungsmethoden SHA256 und SHA512 verwenden.

Standardmäßig wird die Anzahl der Runden von den Variablen SHA_CRYPT_MIN_ROUNDS und SHA_CRYPT_MAX_ROUNDS /etc/login.defs bestimmt.

WARNUNGEN

Achten Sie darauf, dass die Rechte und Umask korrekt vergeben sind, um zu verhindern, dass andere Benutzer unverschlüsselte Dateien lesen können.

KONFIGURATION

Die folgenden Konfigurationsvariablen in /etc/login.defs beeinflussen das Verhalten dieses Werkzeugs:

ENCRYPT_METHOD (Zeichenkette)

Damit wird der standardmäßige Verschlüsselungsalgorithmus, mit dem Passwörter verschlüsselt werden, bestimmt (soweit nicht in der Befehlszeile ein Algorithmus angegeben wird).

Ihm kann einer der folgenden Wert zugewiesen werden: DES (default), MD5, SHA256, SHA512.

Hinweis: Dieser Parameter überschreibt die Variable MD5_CRYPT_ENAB.

MD5_CRYPT_ENAB (boolesch)

Legt fest, ob Passwörter mit dem auf MD5 beruhenden Algorithmus verschlüsselt werden. Falls diesem Wert yes zugewiesen ist, werden neue Passwörter mit dem auf MD5 beruhenden Algorithmus verschlüsselt, der zu dem in der aktuellen Veröffentlichung von FreeBSD eingesetzten Algorithmus kompatibel ist. Passwörter können dann beliebig lang sein, auch die Salt-Zeichenketten sind länger. Setzen Sie diesen Wert auf no, wenn Sie verschlüsselte Passwörter auf ein anderes System kopieren möchten, das den neuen Algorithmus nicht versteht. Der Standardwert ist no.

Dieser Variable geht die Variable ENCRYPT_METHOD und eine Option auf der Befehlszeile, mit der der Verschlüsselungsalgorithmus bestimmt wird, vor.

Der Einsatz dieser Variable ist veraltet. Sie sollten ENCRYPT_METHOD verwenden.

SHA_CRYPT_MIN_ROUNDS (Zahl), SHA_CRYPT_MAX_ROUNDS (Zahl)

Wenn ENCRYPT_METHOD auf SHA256 oder SHA512 gesetzt ist, legt dies die Anzahl der Runden von SHA fest, die standardmäßig vom Verschlüsselungsalgorithmus verwendet werden (falls die Anzahl der Runden nicht auf der Befehlszeile angegeben wird).

Je mehr Runden Sie definieren, umso schwieriger ist es, das Passwort mit sturem Durchprobieren (brute force) zu knacken; umso mehr Rechenleistung wird jedoch auch für die Anmeldung eines Benutzers benötigt.

Falls Sie nichts angeben, wird libc die Standardanzahl der Runden festlegen (5000).

Die Werte müssen zwischen 1000-999.999.999 liegen.

Falls nur der Wert für SHA_CRYPT_MIN_ROUNDS oder SHA_CRYPT_MAX_ROUNDS festgelegt wird, wird dieser Wert verwendet.

Falls SHA_CRYPT_MIN_ROUNDS > SHA_CRYPT_MAX_ROUNDS, wird der höhere Wert verwendet.

DATEIEN

/etc/passwd

Informationen zu den Benutzerkonten

/etc/shadow

verschlüsselte Informationen zu den Benutzerkonten

/etc/login.defs

Konfiguration der Shadow-Passwort-Werkzeugsammlung

SIEHE AUCH

passwd(1), newusers(8), login.defs(5),useradd(8).

11.05.2016 shadow-utils 4.1.5.1