> Linux Reviews > man >

passwd

cambia la password utente

passwd.1.man
passwd.5.man

1. passwd.1.man

Manpage of PASSWD

PASSWD

Section: User Commands (1)
Index Return to Main Contents

NOME

passwd - cambia la password utente

SINTASSI

passwd [-f|-s] [nome]
passwd [-g] [-r|-R] gruppo
passwd [-x max] [-n min] [-w warn] [-i inact] login
passwd {-l|-u|-d|-S|-e} login

DESCRIZIONE

passwd cambia la password per account utente o di gruppo. Un utente normale puÃ² solo cambiare la password per il proprio account, mentre il super utente puÃ² cambiarla per qualsiasi account. L'amministratore di un gruppo puÃ² cambiare la password del gruppo. passwd puÃ² cambiare altri dati dell'utente come il nome completo, la shell di login, la data e l'intervallo di scadenza della password.

L'opzione -s fa sÃ¬ che passwd chiami chsh per cambiare la shell utente. L'opzione -f fa sÃ¬ che passwd chiami chfn per cambiare le informazioni GECOS dell'utente. Queste due opzioni sono presenti solo per compatibilitÃ perchÃ© gli altri programmi possono essere chiamati direttamente.

Modifiche delle password

All'utente viene prima chiesta la propria password attuale, se presente. Questa password viene cifrata e confrontata con quella memorizzata. All'utente viene data solo una possibilitÃ di inserire la password corretta. Il super utente non ha questo obbligo.

Dopo che la password Ã¨ stata inserita, vengono controllati i parametri dell'invecchiamento delle password per verificare che l'utente possa modificarla in questo momento. Se il risultato Ã¨ negativo, passwd non fa cambiare la password ed esce.

All'utente viene poi chiesta la nuova password. Viene misurata la complessitÃ della password. In linea di massima le password dovrebbero contenere dai 6 agli 8 caratteri di uno o piÃ¹ dei seguenti insiemi:

: Lettere minuscole
: Lettere maiuscole
: Numeri da 0 a 9
: Segni di punteggiatura

Si deve fare attenzione a non inserire il carattere di cancellazione o di kill (azzeramento della linea). passwd non accetta password non sufficientemente complesse.

Se la password viene accettata, passwd la chiede una seconda volta e confronta le due password. Le due password devono essere eguali affinchÃ© la password venga accettata.

Password di gruppo

Quando viene speficata l'opzione -g, viene cambiata la password per il gruppo specificato. L'utente deve essere il super utente oppure l'amministratore del gruppo. La password corrente non viene richiesta. L'opzione -r, assieme alla -g elimina la password attuale dal gruppo. Questo permette l'accesso al gruppo a tutti i membri.

Informazioni sulla scadenza della password

Le informazioni sull'invecchiamanto delle password possono essere modificate dal super utente con le opzioni -x, -n, -w e -i. L'opzione -x Ã¨ usata per impostare il massimo numero di giorni per il quale la password Ã¨ valida. Dopo il numero max di giorni viene richiesta la modifica della password. L'opzione -n Ã¨ usata per impostare il minimo numero di giorni prima che una password possa essere modificata. L'utente non potrÃ modificare la password prima che siano passati min giorni. L'opzione -w Ã¨ usata per impostare il numero di giorni durante i quali l'utente verrÃ avvisato che la propria password Ã¨ in scadenza. L'avviso parte warn giorni prima della scadenza e riporta il numero di giorni che ancora gli rimangono. L'opzione -i Ã¨ usata per disabilitare un account dopo che non Ã¨ stato piÃ¹ usato per un certo numero di giorni. Dopo che un account non Ã¨ stato usato per inact giorni successivi alla scadenza, l'utente non puÃ² piÃ¹ accedere al sistema.

Se si vuole fare scadere subito una password, si puÃ² utilizzare l'opzione -e. Questo in pratica obbliga l'utente a inserire una nuova password al successivo login. Si puÃ² anche utilizzare l'opzione -d per azzerare una password. Usare questa opzione con attenzione perchÃ© potrebbe permettere l'accesso al sistema senza l'utilizzo di una password, lasciando quindi spazio di azione a intrusi.

Gestione dell'account

Gli account utente possono essere bloccati e sbloccati con i flag -l e -u. L'opzione -l disabilita l'account impostando la password ad un valore che non corrisponde a nessuna possibile password cifrata. L'opzione -u abilita un account impostando la password al suo valore precedente.

Lo stato attuale di un account puÃ² essere ispeziona con l'opzione -S. Lo stato consiste di 7 campi. Il primo campo Ã¨ il nome dell'utente. Il secondo campo indica se l'account Ã¨ bloccato (L), non ha password (NP) o ha una password valida (P). Il terzo campo contiene la data di ultima modifica della password. I successivi quattro campi sono l'etÃ minima, la massima, il periodi di avviso e quello di iniattivitÃ . Queste etÃ sono espresse in giorni. Vedere la precedente discussione su Informazioni sulla scadenza della password per una discussione su questi campi.

Suggerimenti per password utente

La sicurezza di una password dipende dalla resistenza dell'algoritmo e dalla dimensione della chiave utilizzata. Il metodi di cifratura del sistema UNIX si basa sull'algoritmo NBS DES ed Ã¨ abbastanza sicuro. La dimensione della chiave dipende dall aleatoritÃ della password che viene utilizzata.

La compromissione di una password avviene normalmente a seguito di incuria nella scelta o nella gestione della password. Per questo motivo non si devono utilizzare password che appaiono nei dizionari o che devono essere scritte. La password non deve essere uno nome proprio, il numero della patente, la data di nascita o l'indirizzo. Uno qualunque di questi potrebbe essere indovinato per violare la sicurezza del sistema.

La password deve essere facile da ricordare in modo tale da non essere costretti a scriversela. Un modo per farlo Ã¨ quello di concatenare due parole brevi separandole con della punteggiatura o un numero. Per esempio Pass%word.

Un altro metodo di costruzione di implica la selezione di una frase imparata a memoria perchÃ© presente in letteratura, selezionandone le prime o ultime lettere di ogni parola. Un esempio di questo tipo Ã¨

: Non chiedere per chi suona la campana.

che produce

: NcXcslc.

Si puÃ² essere abbastanza certi che pochi malintenzionati l'abbiano inclusa nel proprio dizionario. Si dovrebbe, comunque, selezionare un proprio metodo per contruire password e non affidarsi esclusivamente a quelli proposti qui.

Note sulle password di gruppo

Le password di gruppo non un problema di sicurezza perchÃ© piÃ¹ di una persona deve conoscerle. Ciononostante i gruppi sono uno strumento molto utile per la cooperazione tra vari utenti.

CAVEAT

Non tutte le opzioni potrebbero essere supportate. Il controllo della complessitÃ delle password varia da sistema a sistema. L'utente deve poter selezionare la possibilitÃ di selezionare una password che ritenga sufficientemente complessa. Gli utenti potrebbero non essere in condizione di modificare la propria password se NIS Ã¨ abilitato e loro non hanno fatto il login sul server NIS.

FILE

/etc/passwd: informazioni sugli account utente
/etc/shadow: password utenti cifrate

VEDERE ANCHE

group(5), passwd(5), shadow(5)

AUTORE

Julianne Frances Haugh <jockgrrl@ix.netcom.com>

TRADUZIONE

Giovanni Bortolozzo <borto@dei.unipd.it>, 1996-1997
Roberto Pertile <triplej@iol.it>, 1999
Isabella Ruocco <isacher@nettaxi.com>, 1999
Giuseppe Sacco <eppesuig@debian.org>, 2005

Index

NOME

SINTASSI

DESCRIZIONE

Modifiche delle password
Password di gruppo
Informazioni sulla scadenza della password
Gestione dell'account
Suggerimenti per password utente
Note sulle password di gruppo

This document was created by man2html using the manual pages.
Time: 00:23:52 GMT, November 20, 2008

2. passwd.5.man

Manpage of PASSWD

PASSWD

Section: Linux Programmer's Manual (5)
Updated: 5 gennaio 1988
Index Return to Main Contents

NOME

passwd - file delle password

DESCRIZIONE

Passwd è un file di testo che contiene un elenco degli account sul sistema, e per ciascuno di questi riporta alcune informazioni utili come user ID, group ID, home directory, ecc. Spesso contiene anche le password criptate di ciascun account. Il file delle password dovrebbe avere permessi di lettura per tutti (molte utility, come ls(1), ne fanno uso per associare lo user ID allo user name), ma permesso di scrittura solo per il superuser.

Nei buoni tempi andati, il permesso di lettura per tutti non era un grosso problema: chiunque poteva leggere le password criptate, ma i calcolatori erano troppo lenti per decifrare una password scelta bene. Soprattutto, si supponeva di lavorare fra amici. Oggigiorno, molti usano una qualche versione di shadow password (chiavi ombra), in cui /etc/passwd contiene degli * al posto delle password criptate, che a loro volta sono nel file /etc/shadow, che solo il superuser può leggere.

Sia che si utilizzino o meno le shadow password, molti amministratori di sistema usano un asterisco nel campo della password per far sì che un utente non possa autenticarsi con una password (vedi le note più sotto).

Se si crea una nuova login, si metta un asterisco nel campo della password, e poi si usi il programma passwd(1) per riempirlo.

C'è una voce per riga, ed ogni riga ha il formato:

: account:passwd:UID:GID:GECOS:directory:shell

Il significato dei campi è il seguente:

account: il nome dell'utente nel sistema. Non dovrebbe contenere maiuscole.
password: la password criptata, o un asterisco (*), o la lettera "x". (Vedere pwconv(8) per una spiegazione di 'x'.)
UID: l'identificativo numerico dell'utente.
GID: l'identificativo numerico del gruppo principale per l'utente.
GECOS: Questo campo è opzionale e viene usato solo per fornire informazioni. Di solito contiene il nome per esteso dell'utente. GECOS sta per General Electric Comprehensive Operating System, (sistema operativo comprensivo della General Electric), ribattezzato GCOS quando la divisione grandi sistemi della GE fu venduta alla Honeywell. Dennis Ritchie riferì: «A volte dovevamo spedire una stampa o un gruppo di lavori alla macchina GCOS. Il campo del gcos nel file delle password era un posto in cui sbattere le informazioni per la $IDENTcard. Per niente elegante.»
directory: la $HOME directory dell'utente.
shell: il programma lanciato al login (se è vuoto, viene usato /bin/sh). Se punta ad un programma che non esiste, l'utente non potrà avere accesso tramite login(1).

NOTE

Se si vuole creare un gruppo di utenti, il loro GID deve essere uguale e ci deve essere una voce nel file /etc/group, o il gruppo non esisterà.

Se la password criptata è un asterisco, l'utente non potrà fare login tramite login(1), ma potrà ugualmente accedere al suo account usando rlogin(1), far girare processi esistenti o iniziarne nuovi con rsh(1), cron(1), at(1) o filtri per la posta, ecc. Bloccare un account semplicemente modificando il campo della shell ha lo stesso effetto e in più permette l'uso di su(1).

FILE

/etc/passwd

VEDERE ANCHE

login(1), passwd(1), su(1), group(5), shadow(5)

This document was created by man2html using the manual pages.
Time: 00:23:52 GMT, November 20, 2008