Gebruikers wachtwoorden
Zoals zoveel taken in Linux, kan je wachtwoorden van gebruikers eenvoudig en snel beheren met de terminal opdracht passwd. Je kunt er uw eigen wachtwoord mee aanpassen, maar ook de wachtwoorden van andere gebruikers. Passwd kan wachtwoorden uitschakelen, een gebruiker blokkeren, de geldigheidsduur van wachtwoorden aanpassen, enz. M.a.w. zorgen voor een veilig systeem.
Eigen wachtwoord aanpassen
Om je eigen wachtwoord aan te passen, gebruik je de opdracht passwd zonder opties:
dany@pindabook:~> passwd
Veranderen van wachtwoord voor dany.
Current password:
Nieuw wachtwoord:
Nieuw wachtwoord herhalen:
passwd: wachtwoord is met succes aangepast
Om uw eigen wachtwoord aan te kunnen passen, moet je wel het oude wachtwoord kennen. Zo kunnen onbevoegden niet stiekem achter uw rug uw wachtwoord aanpassen. Het nieuwe wachtwoord moet je tweemaal ingeven om typfouten te vermijden.
Iemand anders wachtwoord aanpassen
Enkel gebruikers met systeembeheersrechten (root) kunnen wachtwoorden van andere gebruikers aanpassen. Start daarvoor de passwd opdracht met sudo en als optie de gebruikersnaam van het aan te passen wachtwoord:
dany@pindabook:~> sudo passwd dany
[sudo] wachtwoord voor root:
Nieuw wachtwoord:
Nieuw wachtwoord herhalen:
passwd: wachtwoord is met succes aangepast
Daarvoor moet je vanzelfsprekend het wachtwoord van de systeembeheerder root kennen.
Een gebruiker blokkeren
Je kunt een gebruiker eenvoudig blokkeren door zijn wachtwoord te blokkeren. De geblokkeerde gebruiker kan zich dan niet meer aanmelden. Aanmeldprocedures zonder wachtwoord, zoals SSH verbindingen met sleutels werken wel nog. Een gebruikerswachtwoord blokkeer je met de optie -l (--lock):
dany@pindabook:~> sudo passwd -l dany
[sudo] wachtwoord voor root:
passwd: gegevens in verband met wachtwoordverval zijn gewijzigd.
M.a.w. het wachtwoord van de gebruiker dany is vervallen. Een gebruikerswachtwoord kan je terug activeren met de optie -u (--unlock):
dany@pindabook:~> sudo passwd -u dany
passwd: gegevens in verband met wachtwoordverval zijn gewijzigd.
De systeembeheerder root blokkeren
Uit veiligheidsoverwegingen wil je toegang tot de gebruiker root blokkeren, waardoor je enkel nog via sudo systeembeheerrechten kunt krijgen:
dany@pindabook:~> sudo passwd -l root
passwd: gegevens in verband met wachtwoordverval zijn gewijzigd.
Dit werkt voor de systeembeheerder dus juist op dezelfde manier als voor gewone gebruikers.
dany@pindabook:~> sudo passwd -u root
passwd: gegevens in verband met wachtwoordverval zijn gewijzigd.
Gebruikers zonder wachtwoord
Dit is geen veilige manier van werken, maar is veel gebruiksvriendelijk, bijvoorbeeld voor multimedia PC's waarop je je niet moet aanmelden. Om een wachtwoord te verwijderen, gebruik je passwd met de optie -d (--delete):
dany@pindabook:~> sudo passwd -d dany
[sudo] wachtwoord voor root:
passwd: gegevens in verband met wachtwoordverval zijn gewijzigd.
De gebruiker dany geef je terug een wachtwoord met:
dany@pindabook:~> sudo passwd dany
Nieuw wachtwoord:
Nieuw wachtwoord herhalen:
passwd: wachtwoord is met succes aangepast
Om gebruikers gebruiksvriendelijker te laten aanmelden met een wachtwoord, kan er ook automatisch aangemeld worden. De meeste distributies gebruiken deze laatste methode.
Wachtwoordverval
Om de beveiliging te verhogen kan je het wachtwoord laten verlopen, zodat de gebruiker verplicht wordt om de zoveel tijd hun wachtwoord aan te passen. Om een wachtwoord na 30 dagen te laten vervallen, gebruik je de optie -x (--maxdays) gevolgd door het aantal dagen dat het wachtwoord nog gebruikt mag worden:
dany@pindabook:~> sudo passwd -x 30 dany
[sudo] wachtwoord voor root:
passwd: gegevens in verband met wachtwoordverval zijn gewijzigd.
Om de gebruikers bij het aanmelden te waarschuwen dat het wachtwoord binnenkort verloopt, gebruik je de optie -w (--warndays):
dany@pindabook:~> sudo passwd -w 5 dany
passwd: gegevens in verband met wachtwoordverval zijn gewijzigd.
Indien je vermoedt of zeker bent dat een wachtwoord van een gebruiker gecompromitteerd is, kan je de gebruiker verplichten onmiddellijk zijn wachtwoord aan te passen:
dany@pindabook:~> sudo passwd -e dany
passwd: gegevens in verband met wachtwoordverval zijn gewijzigd.
Om geen wachtwoordverval te gebruiken, waardoor het wachtwoord eeuwig geldig blijft, gebruik je een vervaltijd van -1 dagen:
dany@pindabook:~> sudo passwd -x -1 dany
passwd: gegevens in verband met wachtwoordverval zijn gewijzigd.
Wachtwoordgegevens van een gebruiker opvragen
Om gebruikerswachtwoordinstellingen op te vragen, gebruik je de -S (--status) optie:
dany@main:~> sudo passwd -S dany
[sudo] wachtwoord voor root:
dany P 07/06/2019 0 99999 7 -1
Deze informatie lees je als volgt:
- De gebruikersnaam (dany).
- Status van het wachtwoord (P): P is een actief wachtwoord, NP geen wachtwoord, L geblokkeerd wachtwoord.
- Datum laatste wachtwoord wijziging (07/06/2019).
- Mininum wachtwoordgeldigheid in dagen (0).
- Maximum wachtwoordgeldigheid in dagen (99999).
- Waarschuwing voor het verlopen van het wachtwoord in dagen (7).
- Periode waarin het wachtwoord vervalt nadat de gebruiker gedeactiveerd werd (-1 = uitgeschakeld).
En verder
Alle mogelijkheden van passwd kan je opvragen via de manual met de opdracht:
dany@main:~> man 1 passwd
Man: alle passende pagina's vinden, niet alleen eerste (set MAN_POSIXLY_CORRECT to avoid this)
* passwd (1)
passwd (1ssl)
Man: Welke man-pagina wilt u zien?
Man:
Of in het kort met de --help optie van passwd:
