pwdadm [ -f Flags | -q | -c ] User
pwdadm 命令管理用户密码。root 用户或安全组成员可提供或更改 User 参数指定的用户的密码。在被允许更改其它用户密码之前,命令的调用者必须在查询时提供密码。执行命令时,设置 ADMCHG 属性。这样强制用户在下次使用login 或 su 命令时更改密码。
root 用户和安全组的成员不应该使用该命令更改他们的个人密码。ADMCHG 属性将要求他们在下次使用 login 命令或 su 命令时再次更改他们的密码。只有 root 用户或具有密码管理权限的用户(其 admin 属性在 /etc/security/user 文件中设置为真)可更改管理用户的密码信息。
只有 root 用户,安全组成员,或具有密码管理权限的用户可提供或更改 User 参数指定的用户的密码。
执行此命令时,/etc/passwd 文件中的用户的 password 字段设置为 !(感叹号),表示密码的加密版本在 /etc/security/passwd 文件中。当 root 用户或安全组成员使用 pwdadm 命令更改用户密码时,将设置 ADMCHG 属性。
新密码必须依照 /etc/security/user 文件中的规则定义,除非包含 -f NOCHECK 标志。密码只支持七位字符。通过在 pwdadm 命令中包含 -f 标志,root 用户或安全组成员能够设置更改密码规则的属性。如果使用 -f 标志时在 /etc/security/passwd 文件中没有密码条目,则 /etc/passwd 文件中的密码字段将设置为 !(惊叹号),并且一个 *(星号)将出现在 password= 字段以表示未设置密码。
-q 标志允许 root 用户或安全组成员查询密码信息。只出现 lastupdate 属性和 flags 属性的状态。加密密码保持隐藏状态。
-c 标志清除 /etc/security/passwd 文件中设置的所有标志。
访问控制:只有 root 用户和安全组成员对于该命令有执行(x)访问权限。命令需要给予 root 用户 trusted computing base 属性和 setuid 以使其对 /etc/passwd 文件、/etc/security/passwd 文件以及其它用户数据库文件具有写(w)访问权限。
文件访问:
| 方式 | 文件 |
|---|---|
| rw | /etc/passwd |
| rw | /etc/security/passwd |
| r | /etc/security/user |
审计事件:
| 事件 | 信息 |
|---|---|
| PASSWORD_Change | 用户 |
| PASSWORD_Flags | 用户 , 标志 |
pwdadm susan
给出提示时,调用这个命令的用户在可以更改 Susan 的密码之前被提示输入密码。
pwdadm -q susan
此命令显示 lastupdate 属性和 flags 属性的值。下列示例显示了 NOCHECK 和 ADMCHG flags 属性有效时的显示:
susan:
lastupdate=
flags= NOCHECK,ADMCHG| /usr/bin/pwdadm | 包含 pwdadm 命令。 |
| /etc/passwd | |
| 包含基本用户属性。 | |
| /etc/security/passwd | |
| 包含密码信息。 | |
| /etc/security/login.cfg | |
| 包含配置信息。 | |
passwd 命令。
有关用户标识和认证、任意访问控制、可信计算基础以及审计的更多信息,请参阅《AIX 5L V5.2 安全指南》中的 Standalone System Security。