pwdadm 命令
用途
管理用户密码。
语法
描述
pwdadm 命令管理用户密码。 root 用户或安全组成员可提供或更改 User 参数指定的用户的密码。 在被允许更改其他用户密码之前,命令的调用者必须在查询时提供密码。 执行命令时,设置 ADMCHG 属性。 这将强制用户在下次使用su 命令时更改密码。
root 用户和安全组的成员不应该使用该命令更改他们的个人密码。 ADMCHG 属性将要求他们在下次使用 login 命令或 su 命令时再次更改他们的密码。 只有 root 用户或具有密码管理权限的用户(其 admin 属性在 /etc/security/user 文件中设置为真)可更改管理用户的密码信息。
只有 root 用户,安全组成员,或具有密码管理权限的用户可提供或更改 User 参数指定的用户的密码。
当执行此命令时,password/etc/passwd 文件中用户的字段设置为! (感叹号) ,指示密码的加密版本在 /etc/security/passwd 文件中。 当 root 用户或安全组成员使用 pwdadm 命令更改用户密码时,将设置 ADMCHG 属性。
必须根据 /etc/security/user 文件中的规则来定义新密码,除非包括了 -f NOCHECK 标志。 密码只支持七位字符。 通过在 pwdadm 命令中包含 -f 标志,root 用户或安全组成员能够设置更改密码规则的属性。 如果在使用 -f 标志时 /etc/security/passwd 文件中没有密码条目,password/etc/passwd 文件中的字段设置为! (惊叹号) 和一个 * (星号) 出现在password=字段以指示未设置任何密码。
-q 标志允许 root 用户或安全组成员查询密码信息。 只出现 lastupdate 属性和 flags 属性的状态。 加密密码保持隐藏状态。
-c 标志清除用户的所有密码标志。
标志
| 项 | 描述 |
|---|---|
| -c | 清除用户的所有密码标志。 |
| - 标志 | 指定密码的 flags 属性。 Flags 变量必须来自以下逗号分隔的属性列表:
|
| -q | 查询密码的状态。 出现 lastupdate 属性和 flags 属性的值。 |
| -R load_module | 指定用来更改用户属性的可装入的 I&A 模块。 |
安全性
访问控制:只有 root 用户和安全组成员才应该对此命令具有执行 (x) 访问权。 命令需要给予 root 用户 trusted computing base 属性和 setuid 以使其对 /etc/passwd 文件、/etc/security/passwd 文件以及其他用户数据库文件具有写 (w) 访问权。
访问的文件:
| 方式 | 文件 |
|---|---|
| rw | /etc/passwd |
| rw | /etc/security/passwd |
| R | /etc/security/user |
审计事件:
| 事件 | 信息 |
|---|---|
| PASSWORD_Change | 用户 |
| PASSWORD_Flags | 用户, 标志 |
RBAC 用户和 TrustedAIX®用户请注意:此命令可执行特权操作。 只有特权用户才能执行特权限定的操作。 有关权限与特权的更多信息,请参阅安全性中的“特权限定的命令数据库”。 有关与该命令相关联的特权和权限的列表,请参阅 lssecattr 命令或 getcmdattr 子命令。
示例
- 要为用户设置密码susan,那么安全组的成员输入:
给出提示时,调用此命令的用户在可以更改 Susan 的密码之前被提示输入密码。pwdadm susan - 要查询用户的密码状态susan,那么安全组的成员输入:
此命令显示 lastupdate 属性和 flags 属性的值。 以下示例显示当 NOCHECK 和 ADMCHG flags 属性生效时显示的内容:pwdadm -q susansusan: lastupdate= flags= NOCHECK,ADMCHG
文件
| 项 | 描述 |
|---|---|
| /usr/bin/pwdadm | 包含 pwdadm 命令。 |
| /etc/security/passwd | 包含密码信息。 |
| html |