&yLfpf.Rg(i:i i9j@jik~Tmmmmn n! n.n@nDnHnNnRnTnWnZnnnqnnnnnnnnnn n n n o o #o0oDoXo jo vo o o o o o o o o oop p "p0p2p4p7p:p>pBpEpHpLJppppppp6psx}?+k |kx9TN o:4գ{j3VvZ8r%FηW޸+}0ڽnվD(W $+z >Qnun6Pig]FOW&~j0HA_0r^Yp,xXX5WW0W.n.2zzzZ4P[PU2+.YS=-WW4o[.S/XYU6X1.^F-[Y/OQ-+XY,]Y=3U,!UN,W3)3]S+X1jQXZG2S.)YX--17@.x]-X3.2Y.HSw,Q,JOw.,s#zzZ]XF$'$!(3&\'(& "$? d#'$$#!?!a($"''&D'k(+*"#6/Z)#'.+/+['&~'&'/&L.s.'%%'E%m%$!()))S%}%%%)'?"gZ!&!.!P r%*"l'q=nLnD 6T 6 ) V YC h I CP  gGd{GJ(?s8K8gx}\-giyoR1<n}  [!""2#### #:$A%R%%$&&5&\&&'29'.l'p'N )[)t))a*p********** + +'+(C+$l+V+L+-5,c,#,o--M/I0N0m09(1b18:2s23P34i55G6 O61[666 66831:Ze:i:E*; p;~== =8=>:>^Q>/>9>U?Ep???W?$N@s@@(ABcC$D>DE*E/E5EKEhEEOFeFDYG G2G=GHH&HAHEIMI"J*J]0JJ5JJ@J>!Lc`MMIN>OzMPPtaQQSJTTU'VWWuXXXY3ZRZ[H[[k\l]1^AA_j__O`b3ccdeK>hhGi9ajjvkll;gmZnKoJqqwrrIskthduubvhw(w(x_yT9zv{||x}m_~E~BVa!yB"2~LˇHMQȊ/e}`UK0;39ox39%Bhn roA2#R v˔K*^zAҗ ؗE8C9}B ϙܛ' 2:ٜxD6GU+tN/E) pǨ8Lɩ2%?GOTYt/V"|2-2`0nıR3"Hh&>ķ'J+2vO]/W Nvu[ѻ`c;ļ;5<[rνb%6# )<C!R tUU8A{zG%>di#$gw]aR)%<b}K kmB LV-U^l1 YYQ*a(YiV|Q'u@G<P&W8UnUXVXLW&}KqM H A# be -   ZTeAkYHX/+B&fGfM]8R"""N##u$i%p`&&/))S*o*eC+Y+o-{s-m-].C0/t0U1YY11I2K23H33p455eT6667%#8yI889x:*I;)t;z;=V=->>T?@@lAVBiCzDwFDFCFH GGiGCGEGF;HFHGHGIHYIGIDIF/JGvJEJCKHKAKF,LFsLFL`MSbMMNOOIIP+P#P8PxQVR!RS.SST@TTU(kVWX@YYZaZ\}3\g\]S]]5^^w_S`rs`aebs+cscddPDe4e&e1e<#f?`ff]gQhMYhYij[j{j4wkCmmmj^nMnoV p`ptq9rrcMsbsatevtbt ?uSLxWxxizLzze{|{b|G}XN}}.~~/~~P[2<߀ */DtyHb‚F%lAs Ԅ߅-׆{R6~nw4'ʍRiEDXubΐ`1pi:mPcH]b^ ]hLƕ:XeuۘPCW!m0Ù,!0L#hԚ! ,!FhЛ֛C%-"Sv', /-8@y'͝3>F bٞ%<biqv2;CI hs  ʡӡڡ '7RqƢ   '>S['p  ʣ 6W^ z!Ťդܤ,<Nf|8  =\kOE `#0# $#6Zn@!ƨW<@2}6.-^Dު. JUX_&g/< E$f$ϮԮ /9AIQZr"Яp(z:!޴?@ҹ׹ݹ!!%'*-ADX[or  ú кܺ  + = I V d p }     Żֻ    Nlnprtv6x`?@|@VMcT)ND [Pjs+KZf8rmW[TR{# 4  VODgKXumZO}x(ZWy!y"U"R#u $Y$$%A/&fq&0&e 'o'c(r(,(Y!)_{)5)X*0j*X*.*.#+2R++,e,4,h -W-[-+=..i.Z.T.-H/Xv/[/4+0]`0.0Z0^H1W1W1\W212.2e3-{3]3c4Ok4R4-5X<5,5\5c636[6,7U@7,7[7383S8S8+8Y91a9Q9Y9c?:2:S:.*;]Y;-;-;1<7E<.}<]<- =^8=.=2=Y=.S>[>,>R ?,^?O?.?, @x7@@0AeAZBYqB%B7B%)C1OC8C&C(C8 D6CD0zD2D4D0E#DE(hE$E4E3E!F!AF8cF4F"F(F'G6EG'|G)G,G+G2'H3ZH/H*H3H7I/UI,I+I'IJ&J'K&;K'bK0K'K.K.L%AL%gL%L'L%L%M4'M1\M)M*M*M%N%4N%ZN%N*N(N2N_-O1O6O!O!P :P[P5{P+P#PlQnQRUVWWRXWYTZ;[M\0\%]N9]D]9]Y^qa^^a`NaRaXc0#dTebePfeg^gvgdZh7hGh?iij|kllgmno%o'o %p0q6qRrsjs?tdu>SwwExxyz{{U||| }:}I~`~)>IB/ ӀJ'?gcPσ܄ ,<L\Kl  ɅJՅ/ 1PkY;H/Hx:U&kD}I{vP}ΑSq1 91GyDU axe{_'A#i0EQvmQ[6ggebwȠ3@t)m:lnۥF2/7!@"b#ɨpe ]?g=H?W 4<SzfnuYkŴi1͸UԻqyG|]mEGURoVLn> 7Aw*;mlp`\t]ylxBy(v/[,,HE0b/RG#@dHcI:CC Cvyeu).8( 5d"  o Yt ^ z-    /  N L1 U~  Z R>',c_;&]] ~M`< O[!%!*!#" #(#0#g#T$$F%%({)6*6=*4t*n*R+k+G..f//04 1*>1Hi11@142gD2E2a2uT3B3 4Z4y44L5667)8P8F8\C9Y99:5s;;<0= = =)= >>*!>7L>\>\>N>??@(A*AABlDDyENJGNHILJ1'KYKvLLbMurM6M/N ONpN)jO%OO[Q)R4TtSTITUc VqVWEXL[F\hE]^#_`fae7bbuxcdfffgb5iikUlvEmkoa(st@Evvnwdxb]yy{|S}emeӂ9ȄۇV;3(W֑u.Mcbn0[bisݛb@Yi8pk28ťɦ~*Ũ|`qݩO>tz~yS9L.|7pǺ8{]3ٽ pZzFe.x L!2t 3=.lIN6JA7v e]K<,@ImFMLLFJK+KwLLM]LIKBLJH&oDKUIK`7s 9P 2]-5c//#S$*NF|7 p2,_"*M`rvO&vX(<e}<s93;N9VlRlZ0II q x @~  j ~" jZ gjiihl<iYmWh.T]os# 9r @;!G|!!.!7 "CA"#~#$W$$f%Ph%)&I'O-)}*<,-.h//01b$33]4u4z5z5j6yz66R77a9f :p:z:|l;[;E<a>+?/B?yr?%?^@Hq@@8@"A6A0SA;AA%A-A:$B,_B7B&B1B0CDNC1CDC3 D/>D9nD;DD,DKEHcE?E)E8F@OFF FFFKFFkG*~GG9G%GH?0HMpH5HH0 I3;IoI:I-J4JEGH;JKLo/Qu#V0wIhpjLVnxf,AB\x*W_FRXSAH rMc%, c:'"wNI#Up ;{BzU85'H%O@f !&Xsv3)4 J[+?2GuON(nv2 mk"2+1\kmlY wN ~atwW'\v`aP=ZC&e|-4_+ G20 35<7Btf$=?OWzQl6Fv?i<>D$eY7gZ|oIqxsop*z"s >UJ Cq'`L';A:EOa^-86Q5T grBPdL.vZ] -qd*o 0 Y!"CDh[l>GW[y+eJ!S_jt;!/\O&"8n3y ,(gK~IADEtSk g|zm7ulV}\ T=6QKTFm ;xr8|to}^R[b]R1Gix}RYH4u9na7b(XP9#V @5 .u{># N^a_(qcTK*M:s) }i?UdZZ3QfjyY:C%h&]k $6 w~b]$hiNMP~%D:F2i9-k]^A1B <,0- KU#P^~SDXpMqj68)mS, V`sC{g[@/rl1.!)j+Xe4J`$.<y9%H=13E@b`(W<f/nT&/e4Fpy}bdM)E7 *RI_ $ groupadd -r groups $ chmod 2770 groupmems $ chown root.groups groupmems $ groupmems -g groups -a gk4 # sample /etc/suauth file # # A couple of privileged usernames may # su to root with their own password. # root:chris,birddog:OWNPASS # # Anyone else may not su to root unless in # group wheel. This is how BSD does things. # root:ALL EXCEPT GROUP wheel:DENY # # Perhaps terry and birddog are accounts # owned by the same person. # Access can be arranged between them # with no password. # terry:birddog:NOPASS birddog:terry:NOPASS # 1) the user su is targetting console:root,oper:Al0000-2400 console:*: to-id:from-id:ACTION username L2D2048N5 username L2 D2048 N5 #! /bin/sh # Check for the required argument. if [ $# != 1 ]; then echo "Usage: $0 username" exit 1 fi # Remove cron jobs. crontab -r -u $1 # Remove at jobs. # Note that it will remove any jobs owned by the same UID, # even if it was shared by a different username. AT_SPOOL_DIR=/var/spool/cron/atjobs find $AT_SPOOL_DIR -name "[^.]*" -type f -user $1 -delete \; # Remove print jobs. lprm $1 # All done. exit 0 if ( UID is less than 1000) { use /etc/tcb/user } else if ( UID is less than 1000000) { kilos = UID / 1000 use /etc/tcb/:kilos/user make symlink /etc/tcb/user to the above directory } else { megas = UID / 1000000 kilos = ( UID / megas * 1000000 ) / 1000 use /etc/tcb/:megas/:kilos/user make symlink /etc/tcb/user to the above directory } struct faillog { short fail_cnt; short fail_max; char fail_line[12]; time_t fail_time; long fail_locktime; };#include <shadow.h>$HOME/.hushlogin$IFS$PATH);*:games:Wk1700-0900,SaSu0000-2400*:jfh:Wk0900-1700*cp*fp*name*p,--D-M-a -c-d -f-g -h-h -l-p-r-r /etc/default/useradd/etc/group/etc/gshadow/etc/limits/etc/login.defs/etc/motd/etc/nologin/etc/pam.d/chpasswd/etc/pam.d/newusers/etc/pam.d/passwd/etc/passwd/etc/passwd-/etc/porttime/etc/shadow/etc/shadow-/etc/shells/etc/skel//etc/suauth/etc/subgid/etc/subuid/etc/ttytype/var/log/faillog/var/log/lastlog/var/log/wtmp/var/run/utmp011012126127141522) the user executing the su command (or any groups he might be a member of)345689chage1, login1, passwd1, passwd5, pwck8, pwconv8, pwunconv8, su1, sulogin8.chfn1, chsh1, passwd1, crypt3, gpasswd8, groupadd8, groupdel8, groupmod8, login.defs5, subgid5, subuid5, useradd8, userdel8.chfn1, chsh1, passwd1, crypt3, groupadd8, groupdel8, groupmod8, login.defs5, newusers8, subgid5, subuid5, userdel8, usermod8.chfn1, chsh1, passwd1, gpasswd8, groupadd8, groupdel8, login.defs5, useradd8, userdel8, usermod8.chfn1, chsh1, passwd1, gpasswd8, groupadd8, groupmod8, useradd8, userdel8, usermod8.chfn1, chsh1, passwd1, gpasswd8, groupdel8, groupmod8, login.defs5, useradd8, userdel8, usermod8.chfn1, chsh1, passwd1, groupadd8, groupdel8, useradd8, userdel8, usermod8.chfn1, chsh1, passwd1, login.defs5, gpasswd8, groupadd8, groupdel8, groupmod8, subgid5, subuid5, useradd8, usermod8.chfn1, login.defs5, passwd5.chpasswd8, passwd5, shadow5, login.defs5, usermod8.chsh1, login.defs5, passwd5.crypt3, getent1, getpwnam3, login1, passwd1, pwck8, pwconv8, pwunconv8, shadow5, su1, sulogin8.getpwent3, shadow5.gpasswd1, groupadd8, login.defs5.gpasswd5, group5, grpck8, grpconv8, newgrp1.group5, groupmod8, gshadow5, , passwd5, pwck8, shadow5.group5, grpck8, passwd5, shadow5, usermod8.grpck8, login.defs5, pwck8, tcb_convert8, tcb_unconvert8.id1, login1, newgrp1, su1, gpasswd1, group5, gshadow5.id1, login1, su1, sg1, gpasswd1, group5, gshadow5.login.defs5, passwd1, subgid5, subuid5, useradd8.login1, faillog5.login1, login.defs5, sg1, sh1.login1, nologin5.login1, passwd1, su1, passwd5, shadow5, pam8.login1, setpriority2, setrlimit2.login1.mail1, passwd1, sh1, su1, login.defs5, nologin5, passwd5, securetty5, getty8.newgrp1, getgid2, getgroups2, getuid2.newgrp1, groupadd8, groupdel8, groupmod8, grpck8, group5, gshadow5.passwd1, newusers8, login.defs5, useradd8.passwd5, shadow5.su1.vi1, group5, gshadow5login.defs5, passwd5, tcb5, shadow5.faillog displays the contents of the failure log database (/var/log/faillog). It can also set the failure counters and limits. When faillog is run without arguments, it only displays the faillog records of the users who had a login failure.faillog only prints out users with no successful login since the last failure. To print out a user who has had a successful login since their last failure, you must explicitly request the user with the flag, or print out all users with the flag.gpasswd called by a group administratora system administrator with a group name only prompts for the new password of the group.lastlog formats and prints the contents of the last login log /var/log/lastlog file. The login-name, port, and last login time will be printed. The default (no flags) causes lastlog entries to be printed, sorted by their order in /etc/passwd.logoutd enforces the login time and port restrictions specified in /etc/porttime. logoutd should be started from /etc/rc. The /var/run/utmp file is scanned periodically and each user name is checked to see if the named user is permitted on the named port at the current time. Any login session which is violating the restrictions in /etc/porttime is terminated.newgrp changes the current real group ID to the named group, or to the default group listed in /etc/passwd if no group name is given. newgrp also tries to add the group to the user groupset. If not root, the user will be prompted for a password if she does not have a password (in /etc/shadow if this user has an entry in the shadowed password file, or in /etc/passwd otherwise) and the group does, or if the user is not listed as a member and the group has a password. The user will be denied access if the group password is empty and the user is not listed as a member.newusers first tries to create or change all the specified users, and then write these changes to the user or group databases. If an error occurs (except in the final writes to the databases), no changes are committed to the databases.passwd uses PAM to authenticate users and to change their passwords.pwconv does not work with enabled. To convert to tcb passwords, you should first use pwconv to convert to shadowed passwords by disabling in login.defs and then convert to tcb password using tcb_convert (and re-enable in login.defs.)pwconv will use the values of PASS_MIN_DAYS, PASS_MAX_DAYS, and PASS_WARN_AGE from /etc/login.defs when adding new entries to /etc/shadow.pwunconv does not work with enabled. You should first switch back from tcb to shadowed passwords using tcb_unconvert, and then disable in login.defs before using pwunconv.useradd and newusers use this mask to set the mode of the home directory they createuserdel will not allow you to remove an account if there are running processes which belong to this account. In that case, you may have to kill those processes or lock the user's password or account and remove the account later. The option can force the deletion of this account.usermod will try to adapt the ownership of the files and to copy the modes, ACL and extended attributes, but manual changes might be needed afterwards.group_name:passwordpermission:users:originsporttime contains a list of tty devices, user names, and permitted login times.shadow manipulates the contents of the shadow password file, /etc/shadow. The structure in the #include file is:user_name:passwordNote: This option is not recommended because the password (or encrypted password) will be visible by users listing the processes.Note: This option is dangerous and may leave your system in an inconsistent state.getspent, getspname, fgetspent, and sgetspent each return a pointer to a struct spwd. getspent returns the next entry from the file, and fgetspent returns the next entry from the given stream, which is assumed to be a file of the proper format. sgetspent returns a pointer to a struct spwd using the provided string as input. getspnam searches from the current position in the file for an entry matching name.setspent and endspent may be used to begin and end, respectively, access to the shadow password file./bin/sh if a shell could not be found by any above method./etc/gshadow contains the shadowed information for group accounts./etc/passwd contains one line for each user account, with seven fields delimited by colons (:). These fields are:/var/log/faillog maintains a count of login failures and the limits for each account.passwd file busy, try againshadow checks are enabled when a second file parameter is specified or when /etc/shadow exists on the system.shadow is a file which contains the password information for the system's accounts and optional aging information., , ,  user,..., ,  EXPIRE_DATE,  GROUP1[,GROUP2,...[,GROUPN]]],  INACTIVE,  KEY=VALUE, ,  MAX_DAYS,  user,..., ,  CHROOT_DIR, ,  CHROOT_DIR, , , ,  FIRST-LAST,  FIRST-LAST,  WARN_DAYS, ,  SEUSER,  user,  user_name, , ,  BASE_DIR,  DAYS, ,  COMMAND,  COMMENT, ,  METHOD, ,  user,  user_name,  HOME_DIR,  HOME_DIR,  LAST_DAY, , ,  EXPIRE_DATE, ,  FULL_NAME,  INACTIVE,  GID,  GROUP, ,  group_name, ,  HOME_PHONE,  INACTIVE, ,  SKEL_DIR, ,  SEC, ,  NEW_LOGIN, , ,  MAX, ,  MIN_DAYS, , , ,  MIN_DAYS,  NEW_GROUP, ,  OTHER, ,  PASSWORD, , , , , ,  REPOSITORY, ,  ROOM_NUMBER, , ,  ROUNDS, ,  SHELL, ,  DAYS, ,  UID, , ,  LOGIN|RANGE,  FIRST-LAST,  FIRST-LAST,  WARN_DAYS,  WORK_PHONE,  MAX_DAYS (boolean) (string) (boolean) (string) (string) (boolean) (boolean) (string) (string) (string) (string) (string) (string) (number) (boolean) (number) (string) (string) (number) (number) (string) (string) (number) (boolean) (number) (string) (number) (boolean) (boolean) (boolean) (string) (string) (number) (boolean) (string) (string) (boolean) (boolean) (number) (number), and are only used at the time of account creation. Any changes to these settings won't affect existing accounts. (number) (number) (number) (number) (boolean) (boolean) (number) (number) (number) (number) (number) (number) (number) (number) (string) (string) (boolean) (boolean) (boolean) (number) (number) (number) (number) (boolean) (boolean) (string) can be either the name of a group or a numeric group identifier. (string) (string) (number) (number) (number) (number) (string) (boolean) (boolean)CHFN_AUTH CHFN_RESTRICT LOGIN_STRINGCONSOLE CONSOLE_GROUPS DEFAULT_HOME ENV_HZ ENVIRON_FILE ENV_PATH ENV_SUPATH ENV_TZ LOGIN_STRING MAIL_CHECK_ENAB MAIL_DIR MAIL_FILE QUOTAS_ENAB SULOG_FILE SU_NAME SU_WHEEL_ONLY SYSLOG_SU_ENAB USERGROUPS_ENABCONSOLE CONSOLE_GROUPS DEFAULT_HOME ENV_HZ ENV_PATH ENV_SUPATH ENV_TZ ENVIRON_FILE ERASECHAR FAIL_DELAY FAILLOG_ENAB FAKE_SHELL FTMP_FILE HUSHLOGIN_FILE ISSUE_FILE KILLCHAR LASTLOG_ENAB LOGIN_RETRIES LOGIN_STRING LOGIN_TIMEOUT LOG_OK_LOGINS LOG_UNKFAIL_ENAB MAIL_CHECK_ENAB MAIL_DIR MAIL_FILE MOTD_FILE NOLOGINS_FILE PORTTIME_CHECKS_ENAB QUOTAS_ENAB TTYGROUP TTYPERM TTYTYPE_FILE ULIMIT UMASK USERGROUPS_ENABExcept when PAM is used to encrypt the passwords,chpasswd first updates all the passwords in memory, and then commits all the changes to disk if no errors occured for any user.@group LIMITS_STRINGA blank SEUSER will remove the SELinux user mapping for user LOGIN (if any).A list of supplementary groups which the user is also a member of. Each group is separated from the next by a comma, with no intervening whitespace. The groups are subject to the same restrictions as the group given with the option.A list of supplementary groups which the user is also a member of. Each group is separated from the next by a comma, with no intervening whitespace. The groups are subject to the same restrictions as the group given with the option. The default is for the user to belong only to the initial group.A minimal value of 1000 and a maximal value of 999,999,999 will be enforced.A password field which starts with a exclamation mark means that the password is locked. The remaining characters on the line represent the password field before the password was locked.A subsystem login is indicated by the presence of a "*" as the first character of the login shell. The given home directory will be used as the root of a new file system which the user is actually logged into.A value of 0 disables the account as soon as the password has expired, and a value of -1 disables the feature.A: max address space (KB)Action can be one only of the following currently supported options.Add a range of subordinate gids to the user's account.Add a range of subordinate uids to the user's account.Add an user to the group membership list.Add the user to the named group.Add the user to the supplementary group(s). Use only with the option.Additional arguments may be provided after the username, in which case they are supplied to the user's login shell. In particular, an argument of will cause the next argument to be treated as a command by most command interpreters. The command will be executed by the shell specified in /etc/passwd for the target user.Administrators also have the same permissions as the members (see below).Administrators can change the password or the members of the group.After a successful login, you will be informed of any system messages and the presence of mail. You may turn off the printing of the system message file, /etc/motd, by creating a zero-length file .hushlogin in your login directory. The mail message will be one of "You have new mail.", "You have mail.", or "No Mail." according to the condition of your mailbox.After expiration of the password and this expiration period is elapsed, no login is possible using the current user's password. The user should contact her administrator.After the password has been entered, password aging information is checked to see if the user is permitted to change the password at this time. If not, passwd refuses to change the password and exits.After this number of days is elapsed, the password may still be valid. The user should be asked to change her password the next time she will log in.Allow the creation of a user account with a duplicate (non-unique) UID.Also, please note that all limit settings are set PER LOGIN. They are not global, nor are they permanent. Perhaps global limits will come, but for now this will have to do ;)An empty EXPIRE_DATE argument will disable the expiration of the account.An empty field and value 0 mean that there are no minimum password age.An empty field and value 0 mean that there are no password warning period.An empty field means that password aging features are disabled.An empty field means that the account will never expire.An empty field means that there are no enforcement of an inactivity period.An empty field means that there are no maximum password age, no password warning period, and no password inactivity period (see below).An error parsing the file is reported using syslogd8 as level ERR on facility AUTH.An initialization script for your command interpreter may also be executed. Please see the appropriate manual section for more information on this function.Any file from the user's home directory owned by the previous primary group of the user will be owned by this new group.Any files that have the old group ID and must continue to belong to GROUP, must have their group ID changed manually.Any text string. It is generally a short description of the login, and is currently used as the field for the user's full name.Apply changes in the CHROOT_DIR directory and use the configuration files from the CHROOT_DIR directory.As with any program, login's appearance can be faked. If non-trusted users have physical access to a machine, an attacker could use this to obtain the password of the next person coming to sit in front of the machine. Under Linux, the SAK mechanism can be used by users to initiate a trusted path and prevent this kind of attack.BUGSBackup file for /etc/passwd.Backup file for /etc/shadow.Be aware that after username the rest of the line is considered a limit string, thus comments are not allowed. A invalid limits string will be rejected (not considered) by the login program.BerraBy default (if none of the , , or options are specified), the encryption method is defined by the or variables of /etc/login.defs.By default no quota is imposed on 'root'. In fact, there is no way to impose limits via this procedure to root-equiv accounts (accounts with UID 0).By default the passwords must be supplied in clear-text, and are encrypted by chpasswd. Also the password age will be updated, if present.By default the supplied password must be in clear-text, and is encrypted by chgpasswd.By default, grpck operates on /etc/groupand /etc/gshadow. The user may select alternate files with the groupparameter.and shadow parameters.By default, pwck operates on the files /etc/passwd and /etc/shadow (or the files in /etc/tcb). The user may select alternate files with the passwd and shadow parameters.By default, PAM is used to encrypt the passwords.By default, a group will also be created for the new user (see , , , and ).By default, if this option is not specified and is not enabled, no home directories are created.By default, passwords are encrypted by PAM, but (even if not recommended) you can select a different encryption method with the , , or options.By default, the number of rounds is defined by the and variables in /etc/login.defs.By default, the number of rounds is defined by the SHA_CRYPT_MIN_ROUNDS and SHA_CRYPT_MAX_ROUNDS variables in /etc/login.defs.By default, the ownership of the terminal is set to the user's primary group and the permissions are set to 0600.By default, the user's entries in the lastlog and faillog databases are resetted to avoid reusing the entry from a previously deleted user.C: max core file size (KB)CAVEATSCHSH_AUTH LOGIN_STRINGCONFIGURATIONCREATE_HOME GID_MAX GID_MIN MAIL_DIR MAX_MEMBERS_PER_GROUP PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE SUB_GID_COUNT SUB_GID_MAX SUB_GID_MIN SUB_UID_COUNT SUB_UID_MAX SUB_UID_MIN SYS_GID_MAX SYS_GID_MIN SYS_UID_MAX SYS_UID_MIN UID_MAX UID_MIN UMASK TCB_AUTH_GROUP TCB_SYMLINK USE_TCBCROSS REFERENCESCare must be taken not to include the system default erase or kill characters. passwd will reject any password which is not suitably complex.Change the user's full name.Change the user's home phone number.Change the user's office phone number.Change the user's other GECOS information. This field is used to store accounting information used by other applications, and can be changed only by a superuser.Change the user's room number.Changing the default valuesCheck the password expiration of the current user.Checks are made to verify that each entry has:Compromises in password security normally result from careless password selection or handling. For this reason, you should not select a password which appears in a dictionary or which must be written down. The password should also not be a proper name, your license number, birth date, or street address. Any of these may be used as guesses to violate system security.Create a group with the same name as the user, and add the user to this group.Create a system account.Create a system group.Create the user's home directory if it does not exist. The files and directories contained in the skeleton directory (which can be defined with the option) will be copied to the home directory.Creation, 1989Creation, 1990Creation, 1991Creation, 1992Creation, 1996Creation, 1997Creation, 2000Creation, 2005Creation, 2006D: max data size (KB)DENYDESCRIPTIONDIAGNOSTICSDatabase times of previous user logins.Default ulimit value.Default values for account creation.Defines the location of the users mail spool files relatively to their home directory.Delay in seconds before being allowed another attempt after a login failure.Delete a user from the group membership list.Delete a user's password (make it empty). This is a quick way to disable a password for an account. It will set the named account passwordless.Directory containing default files.Display (or act on) faillog records for all users having an entry in the faillog database.Display account status information. The status information consists of 7 fields. The first field is the user's login name. The second field indicates if the user account has a locked password (L), has no password (NP), or has a usable password (P). The third field gives the date of the last password change. The next four fields are the minimum age, maximum age, warning period, and inactivity period for the password. These ages are expressed in days.Display faillog record or maintains failure counters and limits (if used with , or options) only for the specified user(s).Display faillog records more recent than DAYS.Display help message and exit.Do no create the user's home directory, even if the system wide setting from /etc/login.defs () is set to yes.Do not add the user to the lastlog and faillog databases.Do not create a group with the same name as the user, but add the user to the group specified by the option or by the variable in /etc/default/useradd.Do not perform authentication, user is preauthenticated.During this first pass, users are created with a locked password (and passwords are not changed for the users which are not created). A second pass is used to update the passwords using PAM. Failures to update a password are reported, but will not stop the other password updates.EDITORENCRYPT_METHOD GID_MAX GID_MIN MAX_MEMBERS_PER_GROUP MD5_CRYPT_ENAB PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDS SUB_GID_COUNT SUB_GID_MAX SUB_GID_MIN SUB_UID_COUNT SUB_UID_MAX SUB_UID_MIN SYS_GID_MAX SYS_GID_MIN SYS_UID_MAX SYS_UID_MIN UID_MAX UID_MIN UMASKENCRYPT_METHOD MAX_MEMBERS_PER_GROUP MD5_CRYPT_ENAB SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDSENCRYPT_METHOD MD5_CRYPT_ENABENCRYPT_METHOD MD5_CRYPT_ENAB OBSCURE_CHECKS_ENAB PASS_ALWAYS_WARN PASS_CHANGE_TRIES PASS_MAX_LEN PASS_MIN_LEN SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDSENV=VARENVIRONMENTENV_HZ ENV_TZEXAMPLEEXAMPLESEXIT VALUESEach access time entry consists of zero or more days of the week, abbreviated Su, Mo, Tu, We, Th, Fr, and Sa, followed by a pair of times separated by a hyphen. The abbreviation Wk may be used to represent Monday thru Friday, and Al may be used to indicate every day. If no days are given, Al is assumed.Each entry consists of three colon separated fields. The first field is a comma separated list of tty devices, or an asterisk to indicate that all tty devices are matched by this entry. The second field is a comma separated list of user names, or an asterisk to indicated that all user names are matched by this entry. The third field is a comma separated list of permitted access times.Each line describes a limit for a user in the form:Each line of the login access control table has three fields separated by a ":" character:Each line of this file contains 9 fields, separated by colons (:), in the following order:Each line of this file contains the following colon-separated fields:Each program acquires the necessary locks before conversion. pwconv and grpconv are similar. First, entries in the shadowed file which don't exist in the main file are removed. Then, shadowed entries which don't have `x' as the password in the main file are updated. Any missing shadowed entries are added. Finally, passwords in the main file are replaced with `x'. These programs can be used for initial conversion as well to update the shadowed file if the main file is edited by hand.Edit group database.Edit passwd database.Edit shadow or gshadow database.Editor to be used if is not set.Editor to be used.Enable "syslog" logging of sg activity.Enable "syslog" logging of su activity - in addition to sulog file logging.Enable additional checks upon password changes.Enable checking and display of mailbox status upon login.Enable checking of time restrictions specified in /etc/porttime.Enable display of unknown usernames when login failures are recorded.Enable logging and display of /var/log/lastlog login time info.Enable logging and display of /var/log/faillog login failure info.Enable logging of successful logins.Enable setting of resource limits from /etc/limits and ulimit, umask, and niceness from the user's passwd gecos field.Enable setting of the umask group bits to be the same as owner bits (examples: 022 -> 002, 077 -> 007) for non-root users, if the uid is the same as gid, and username is the same as the primary group name.Errors in the password or group files (such as invalid or duplicate entries) may cause these programs to loop forever or fail in other strange ways. Please run pwck and grpck to correct any such errors before converting to or from shadow passwords or groups.Example:  GID_MIN=100  GID_MAX=499Except for the and options, the options cannot be combined.Execute the grpck command in read-only mode. This causes all questions regarding changes to be answered no without user intervention.Execute the pwck command in read-only mode.F: maximum filesize (KB)FILEFILESFailure logging file.File Formats and ConversionsFile containing port access.Files in the user's home directory will be removed along with the home directory itself and the user's mail spool. Files located in other file systems will have to be searched for and deleted manually.For example, L2D2048N5 is a valid LIMITS_STRING. For reading convenience, the following entries are equivalent:For the su command to be successful, the user must enter his or her own password. They are told this.Force a password change if the current user has an expired password.FrançoisGID not unique (when not used)GID_MAX GID_MIN MAX_MEMBERS_PER_GROUP SYS_GID_MAX SYS_GID_MINGROUPGeorgeGroup account information.Group passwords are an inherent security problem since more than one person is permitted to know the password. However, groups are a useful tool for permitting co-operation between different users.Groupnames may only be up to &GROUP_NAME_MAX_LENGTH; characters long.Groupnames must start with a lower case letter or an underscore, followed by lower case letters, digits, underscores, or dashes. They can end with a dollar sign. In regular expression terms: [a-z_][a-z0-9_-]*[$]?HISTORYHaughHere is an example script, which removes the user's cron, at and print jobs: Hints for user passwordsI: max nice value (0..39 which translates to 20..-19)IVIf /etc/subuid exists, the commands useradd and newusers (unless the user already have subordinate group IDs) allocate unused group IDs from the range to for each new user.If /etc/subuid exists, the commands useradd and newusers (unless the user already have subordinate user IDs) allocate unused user IDs from the range to for each new user.If is not used, the environment is copied, except for the variables above.If is used, other environment variables might be set by the file (see below).If is used, the $TERM, $COLORTERM, $DISPLAY, and $XAUTHORITY environment variables are copied if they were set.If is used, the $TZ, $HZ, and $MAIL environment variables are set according to the /etc/login.defs options , , , and (see below).If is used, the shell specified by the $SHELL environment variable.If is set to yes, they are also used to define the MAIL environment variable.If > , the highest value will be used.If is defined to yes in /etc/login.defs, userdel will delete the group with the same name as the user. To avoid inconsistencies in the passwd and group databases, userdel will check that this group is not used as a primary group for another user, and will just warn without deleting the group otherwise. The option can force the deletion of this group.If yes, newly created tcb shadow files will be group owned by the auth group.If yes, the tcb5 password shadowing scheme will be used.If yes, the chfn program will require authentication before making any changes, unless run by the superuser.If yes, the chsh program will require authentication before making any changes, unless run by the superuser.If yes, the location of the user tcb directory to be created will not be automatically set to /etc/tcb/user, but will be computed depending on the UID of the user, according to the following algorithm: If yes, the user must be listed as a member of the first gid 0 group in /etc/group (called root on most Linux systems) to be able to su to uid 0 accounts. If the group doesn't exist or is empty, no one will be able to su to uid 0.If a full path is specified but the file does not exist or cannot be read, the default is to use TZ=CST6CDT.If a password is set the members can still use newgrp1 without a password, and non-members must supply the password.If defined, ":" delimited list of "message of the day" files to be displayed upon login.If defined, all su activity is logged to this file.If defined, either full pathname of a file containing device names (one per line) or a ":" delimited list of device names. Root logins will be allowed only upon these devices.If defined, file which maps tty line to TERM environment parameter. Each line of the file is in a format something like "vt100 tty01".If defined, login failures will be logged in this file in a utmp format.If defined, name of file whose presence will inhibit non-root logins. The contents of this file should be a message indicating why logins are inhibited.If defined, the command name to display when running "su -". For example, if this is defined as "su" then a "ps" will display the command is "-su". If not defined, then "ps" would display the name of the shell actually being run, e.g. something like "-sh".If defined, this command is run when removing a user. It should remove any at/cron/print jobs etc. owned by the user to be removed (passed as the first argument).If defined, this file can inhibit all the usual chatter during the login sequence. If a full pathname is specified, then hushed mode will be enabled if the user's name or shell are found in the file. If not a full pathname, then hushed mode will be enabled if the file exists in the user's home directory.If defined, this file will be displayed before each login prompt.If more than one line with limits for an user exist, only the first line for this user will be considered.If no lines are specified for an user, the last @group line matching a group whose the user is a member of will be considered, or the last line with default limits if no groups contain the user.If none of the options are selected, chage operates in an interactive fashion, prompting the user with the current values for all of the fields. Enter the new value to change the field, or leave the line blank to use the current value. The current value is displayed between a pair of [ ] marks.If none of the options are selected, chfn operates in an interactive fashion, prompting the user with the current values for all of the fields. Enter the new value to change the field, or leave the line blank to use the current value. The current value is displayed between a pair of [ ] marks. Without options, chfn prompts for the current user account.If not defined, root will be allowed on any device.If not specified, useradd will use the default expiry date specified by the variable in /etc/default/useradd, or an empty string (no expiry) by default.If not specified, useradd will use the default inactivity period specified by the variable in /etc/default/useradd, or -1 by default.If not specified, the behavior of useradd will depend on the variable in /etc/login.defs. If this variable is set to yes (or is specified on the command line), a group will be created for the user, with the same name as her loginname. If the variable is set to no (or is specified on the command line), useradd will set the primary group of the new user to the value specified by the variable in /etc/default/useradd, or 100 by default.If not specified, the libc will choose the default number of rounds (5000).If only one of the or values is set, then this value will be used.If password aging has been enabled for your account, you may be prompted for a new password before proceeding. You will be forced to provide your old password and the new password before continuing. Please refer to passwd1 for more information.If possible, the ACLs and extended attributes are copied.If set to yes, userdel will remove the user's group if it contains no more members, and useradd will create by default a group with the name of the user.If set to yes, the user will login in the root (/) directory if it is not possible to cd to her home directory.If set, login will execute this shell instead of the users' shell specified in /etc/passwd.If set, it will be used to define the HZ environment variable when a user login. The value must be preceded by HZ=. A common value on Linux is HZ=100.If set, it will be used to define the PATH environment variable when a regular user login. The value is a colon separated list of paths (for example /bin:/usr/bin) and can be preceded by PATH=. The default value is PATH=/bin:/usr/bin.If set, it will be used to define the PATH environment variable when the superuser login. The value is a colon separated list of paths (for example /sbin:/bin:/usr/sbin:/usr/bin) and can be preceded by PATH=. The default value is PATH=/sbin:/bin:/usr/sbin:/usr/bin.If set, it will be used to define the TZ environment variable when a user login. The value can be the name of a timezone preceded by TZ= (for example TZ=CST6CDT), or the full path to the file containing the timezone specification (for example /etc/tzname).If su has to kill the command (because it was asked to terminate, and the command did not terminate in time), su returns 255.If the /etc/gshadow file exist, and the group has no entry in the /etc/gshadow file, a new entry will be created.If the /etc/gshadow file exist, the user will be removed from the list of members and administrators of the group.If the option is given, the contents of the current home directory will be moved to the new home directory, which is created if it does not already exist.If the option is not selected, chsh operates in an interactive fashion, prompting the user with the current login shell. Enter the new value to change the shell, or leave the line blank to use the current one. The current shell is displayed between a pair of [ ] marks.If the UID of an existing user is changed, the files ownership of the user's file should be fixed manually.If the field is empty, an new (unused) UID will be defined automatically by newusers.If the groupname already exists in an external group database such as NIS or LDAP, groupadd will deny the group creation request.If the home directory of an existing user is changed, newusers does not move or copy the content of the old directory to the new location. This should be done manually.If the maximum password age is lower than the minimum password age, the user cannot change her password.If the password field contains some string that is not a valid result of crypt3, for instance ! or *, the user will not be able to use a unix password to log in (but the user may log in the system by other means).If the password field contains some string that is not a valid result of crypt3, for instance ! or *, users will not be able to use a unix password to access the group (but group members do not need the password).If the string contains %s, this will be replaced by the user's name.If the target user has a restricted shell (i.e. the shell field of this user's entry in /etc/passwd is not listed in /etc/shells), then the option or the $SHELL environment variable won't be taken into account, unless su is called by root.If the target user has a restricted shell, this option has no effect (unless su is called by root).If the user has never logged in the message ** Never logged in** will be displayed instead of the port and time.If the user is currently a member of a group which is not listed, the user will be removed from the group. This behaviour can be changed via the option, which appends the user to the current supplementary group list.If there is an entry for this group in /etc/gshadow, then the list of members and the password of this group will be taken from this file, otherwise, the entry in /etc/group is considered.If this command was terminated by a signal, su returns the number of this signal plus 128.If this field contains a number, this number will be used as the UID.If this field contains the name of a group which does not exist (and was not created before by newusers), a new group will be created with the specified name and a GID will be automatically defined by newusers to be used as the primary group ID for the user and GID for the new group.If this field contains the name of an existing group (or a group created before by newusers), the GID of this group will be used as the primary group ID for the user.If this field contains the name of an existing user (or the name of an user created before by newusers), the UID of the specified user will be used.If this field does not specify an existing directory, the specified directory is created, with ownership set to the user being created or updated and its primary group.If this field is a number, this number will be used as the primary group ID of the user. If no groups exist with this GID, a new group will be created with this GID, and the name of the user.If this field is empty, a new group will be created with the name of the user and a GID will be automatically defined by newusers to be used as the primary group ID for the user and as the GID for the new group.If this file exists and is readable, login environment will be read from it. Every line should be in the form name=value.If this option is not set, the skeleton directory is defined by the variable in /etc/default/useradd or, by default, /etc/skel.If this option is not specified, useradd will use the base directory specified by the variable in /etc/default/useradd, or /home by default.If you have a write program which is "setgid" to a special group which owns the terminals, define TTYGROUP to the group number and TTYPERM to 0620. Otherwise leave TTYGROUP commented out and assign TTYPERM to either 622 or 600.If you need to enforce such limit, you can use 25.Immediately expire an account's password. This in effect can force a user to change his/her password at the user's next login.In display mode, this is still restricted to existing users but forces the display of the faillog entries even if they are empty.Indicate if a home directory should be created by default for new users.Indicate if login is allowed if we can't cd to the home directory. Default is no.Indicate if passwords must be encrypted using the MD5-based algorithm. If set to yes, new passwords will be encrypted using the MD5-based algorithm compatible with the one used by recent releases of FreeBSD. It supports passwords of unlimited length and longer salt strings. Set to no if you need to copy encrypted passwords to other systems which don't understand the new algorithm. Default is no.Indicate password change should be performed only for expired authentication tokens (passwords). The user wishes to keep their non-expired tokens as before.Indicates which user's tcb shadow file to edit.It can be the name of a new user or the name of an existing user (or an user created before by newusers). In case of an existing user, the user's information will be changed, otherwise a new user will be created.It can take one of these values: DES (default), MD5, SHA256, SHA512.It is also used by login to define users' initial umask. Note that this mask can be overridden by the user's GECOS line (if is set) or by the specification of a limit with the K identifier in limits5.It is also used by pam_umask as the default umask value.It must be a comma-separated list of user names.It must be a valid account name, which exist on the system.It must be a valid group name, which exist on the system.Julianne FrancesK: file creation mask, set by umask2.KraftKłoczkoL: max number of logins for this userLOGINLarge gaps in UID numbers will cause the lastlog program to run longer with no output to the screen (i.e. if in lastlog database there is no entries for users with UID between 170 and 800 lastlog will appear to hang as it processes entries with UIDs 171-799).Library CallsLikewise pwunconv and grpunconv are similar. Passwords in the main file are updated from the shadowed file. Entries which exist in the main file but not in the shadowed file are left alone. Finally, the shadowed file is removed. Some password aging information is lost by pwunconv. It will convert what it can.Lines starting with a # are treated as comment lines and ignored.List of current login sessions.List of groups to add to the user's supplementary groups set when logging in on the console (as determined by the CONSOLE setting). Default is none. Use with caution - it is possible for users to gain permanent access to these groups, even when not logged in on the console.List of previous login sessions.List of terminal types.List of valid login shells.List the group membership list.Lock a user's password. This puts a '!' in front of the encrypted password, effectively disabling the password. You can't use this option with or .Lock account for SEC seconds after failed login.Lock the password of the named account. This option disables a password by changing it to a value which matches no possible encrypted value (it adds a ´!´ at the beginning of the password).LucaM: max locked-in-memory address space (KB)MAIL_DIR MAIL_FILE MAX_MEMBERS_PER_GROUP TCB_SYMLINKS USE_TCBMAIL_DIR MAIL_FILE MAX_MEMBERS_PER_GROUP USERDEL_CMD USERGROUPS_ENAB TCB_SYMLINKS USE_TCBMAX_MEMBERS_PER_GROUPMarekMaszkowskiMax time in seconds for login.Maximum members per group entry. When the maximum is reached, a new group entry (line) is started in /etc/group (with the same name, same password, and same GID).Maximum number of attempts to change password if rejected (too easy).Maximum number of login retries in case of bad password.Members can access the group without being prompted for a password.MichałkiewiczMove the content of the user's home directory to the new location.Much of the functionality that used to be provided by the shadow password suite is now handled by PAM. Thus, /etc/login.defs is no longer used by passwd1, or less used by login1, and su1. Please refer to the corresponding PAM configuration files instead.N: max number of open filesNOPASSNOTENOTESName of the remote host for this login.NicolasNo checks will be performed with regard to , , or from /etc/login.defs.No checks will be performed with regard to , , or from /etc/login.defs.No checks will be performed with regard to the , , , or from /etc/login.defs.No checks will be performed with regard to the , , , or from /etc/login.defs.Note that useradd will not create a home directory for such an user, regardless of the default setting in /etc/login.defs (). You have to specify the options if you want a home directory for a system account to be created.Note that an account expiration differs from a password expiration. In case of an acount expiration, the user shall not be allowed to login. In case of a password expiration, the user is not allowed to login using her password.Note that the default behavior for the environment is the following: Note that this does not disable the account. The user may still be able to login using another authentication token (e.g. an SSH key). To disable the account, administrators should use usermod --expiredate 1 (this set the account's expire date to Jan 2, 1970).Note that this file is used by the tools of the shadow toolsuite, but not by all user and password management tools.Note that when is enabled, you cannot specify an alternative shadow file. In future releases, this paramater could be replaced by an alternate TCB directory.Note there are three separate fields delimited by a colon. No whitespace must surround this colon. Also note that the file is examined sequentially line by line, and the first applicable rule is used without examining the file further. This makes it possible for a system administrator to exercise as fine control as he or she wishes.Note:  GID_MIN=10,GID_MAX=499 doesn't work yet.Note: In that case, username is mandatory.Note: This only affect the generation of group passwords. The generation of user passwords is done by PAM and subject to the PAM configuration. It is recommended to set this variable consistently with the PAM configuration.Note: if you wish to lock the account (not only access with a password), you should also set the EXPIRE_DATE to 1.Note: if you wish to unlock the account (not only access with a password), you should also set the EXPIRE_DATE (for example to 99999, or to the value from /etc/default/useradd).Note: logging unknown usernames may be a security issue if an user enter her password instead of her login name.Note: split groups may not be supported by all tools (even in the Shadow toolsuite). You should not use this variable unless you really need it.Note: this parameter overrides the variable.Notes about group passwordsNumber of significant characters in the password for crypt(). is 8 by default. Don't change unless your crypt() is better. This is ignored if set to yes.O: max real time priorityOPTIONSOWNPASSOn some installations, the environmental variable $TERM will be initialized to the terminal type on your tty line, as specified in /etc/ttytype.On success, su returns the exit value of the command it executed.Only the entries for the current users of the system will be displayed. Other entries may exist for users that were deleted previously.Only the superuser, as administrator, can use groupmems to alter the memberships of other groups.Other environments might be set by PAM modules.Overrides /etc/login.defs defaults (, , , and others). Example:  PASS_MAX_DAYS=-1 can be used when creating system account to turn off password ageing, even though system account has no password at all. Multiple options can be specified, e.g.:  UID_MIN=100  UID_MAX=499Overrides /etc/login.defs defaults (GID_MIN, GID_MAX and others). Multiple options can be specified.P: process priority, set by setpriority2.PAM configuration for chpasswd.PAM configuration for newusers.PAM configuration for passwd.PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE TCB_AUTH_GROUP TCB_SYMLINKS USE_TCBPASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE USE_TCBParameter values may be of four types: strings, booleans, numbers, and long numbers. A string is comprised of any printable characters. A boolean should be either the value yes or no. An undefined boolean parameter or one with a value other than these will be given a no value. Numbers (both regular and long) may be either decimal values, octal values (precede the value with 0) or hexadecimal values (precede the value with 0x). The maximum value of the regular and long numeric parameters is machine-dependent.Passing the number -1 as MAX_DAYS will remove checking a password's validity.Passing the number -1 as the EXPIRE_DATE will remove an account expiration date.Passing the number -1 as the INACTIVE will remove an account's inactivity.Password ChangesPassword complexity checking may vary from site to site. The user is urged to select a password as complex as he or she feels comfortable with.Per user subordinate group IDs.Per user subordinate user IDs.Perform autologin protocol for rlogin.Preserve environment.Preserve the current environment, except for: Prevent non-root users from logging in.Print only lastlog records older than DAYS.Print the lastlog record of the specified user(s).Print the lastlog records more recent than DAYS.Provide an environment similar to what the user would expect had the user logged in directly.Purge all users from the group membership list.Quiet mode.R: max resident set size (KB)RafalRange of group IDs used for the creation of regular groups by useradd, groupadd, or newusers.Range of group IDs used for the creation of system groups by useradd, groupadd, or newusers.Range of user IDs used for the creation of regular users by useradd or newusers.Range of user IDs used for the creation of system users by useradd or newusers.Refer to crypt3 for details on how this string is interpreted.Remember to set permissions or umask to prevent readability of unencrypted files by other users.Remove a range of subordinate gids from the user's account.Remove a range of subordinate uids from the user's account.Remove any SELinux user mapping for the user's login.Remove the user from the named group.Remove the password from the named group. The group password will be empty. Only group members will be allowed to use newgrp to join the named group.Report errors only. The warnings which do not require any action from the user won't be displayed.Reset the counters of login failures.Restrict the access to the named group. The group password is set to "!". Only group members with a password will be allowed to use newgrp to join the named group.Routines return NULL if no more entries are available or if an error occurs during processing. Routines which have int as the return value return 0 for success and -1 for failure.S: max stack size (KB)SEE ALSOSETUPSHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDSSYNTAXSYSLOG_SG_ENABSecure group account information.Secure user account information.See also the option and the description.See also the option and the description.See below, the subsection "Changing the default values".Selecting a MAX value of 0 has the effect of not placing a limit on the number of failed logins.Set the date or number of days since January 1, 1970 on which the user's account will no longer be accessible. The date may also be expressed in the format YYYY-MM-DD (or the format more commonly used in your area). A user whose account is locked must contact the system administrator before being able to use the system again.Set the list of administrative users.Set the list of group members.Set the maximum number of days a password remains valid. After MAX_DAYS, the password is required to be changed.Set the maximum number of days during which a password is valid. When MAX_DAYS plus LAST_DAY is less than the current day, the user will be required to change his/her password before being able to use his/her account. This occurrence can be planned for in advance by use of the option, which provides the user with advance warning.Set the maximum number of login failures after the account is disabled to MAX.Set the minimum number of days between password changes to MIN_DAYS. A value of zero for this field indicates that the user may change his/her password at any time.Set the number of days of inactivity after a password has expired before the account is locked. The INACTIVE option is the number of days of inactivity. A user whose account is locked must contact the system administrator before being able to use the system again.Set the number of days of warning before a password change is required. The WARN_DAYS option is the number of days prior to the password expiring that a user will be warned his/her password is about to expire.Set the number of days of warning before a password change is required. The WARN_DAYS option is the number of days prior to the password expiring that a user will be warned that his/her password is about to expire.Set the number of days since January 1st, 1970 when the password was last changed. The date may also be expressed in the format YYYY-MM-DD (or the format more commonly used in your area).Shadow password suite configuration.Show account aging information.Similarly, if the username already exists in an external user database such as NIS or LDAP, useradd will deny the user account creation request.Some exit values from su are independent from the executed command: Sort entries in /etc/groupand /etc/gshadow by GID.Sort entries in /etc/passwd and /etc/shadow by UID.Specify a command that will be invoked by the shell using its .Supplied passwords are in encrypted form.Suppress printing of system messages.System Management CommandsSystem administrators can use the option to define group administrator(s) and the option to define members. They have all rights of group administrators and members.System message of the day file.System or authentication failureSystem users will be created with no aging information in /etc/shadow, and their numeric identifiers are chosen in the - range, defined in /etc/login.defs, instead of - (and their counterparts for the creation of groups).System users will be created with no aging information in /etc/shadow, and their numeric identifiers are chosen in the - range, defined in login.defs, instead of - (and their counterparts for the creation of groups).Systems which do not support concurrent group sets will have the information from /etc/group reported. The user must use newgrp or sg to change his current real and effective group ID.T: max CPU time (MIN)Terminal ERASE character (010 = backspace, 0177 = DEL).Terminal KILL character (025 = CTRL/U).The chage command changes the number of days between password changes and the date of the last password change. This information is used by the system to determine when a user must change his/her password.The chage command exits with the following values: The chage command is restricted to the root user, except for the option, which may be used by an unprivileged user to determine when his/her password or account is due to expire.The chage program requires a shadow password file to be available.The chfn command changes user fullname, office room number, office phone number, and home phone number information for a user's account. This information is typically printed by finger1 and similar programs. A normal user may only change the fields for her own account, subject to the restrictions in /etc/login.defs. (The default configuration is to prevent users from changing their fullname.) The superuser may change any field for any account. Additionally, only the superuser may use the option to change the undefined portions of the GECOS field.The chgpasswd command reads a list of group name and password pairs from standard input and uses this information to update a set of existing groups. Each line is of the format:The chpasswd command reads a list of user name and password pairs from standard input and uses this information to update a group of existing users. Each line is of the format:The chsh command changes the user login shell. This determines the name of the user's initial login command. A normal user may only change the login shell for her own account; the superuser may change the login shell for any account.The expiry command checks () the current password expiration and forces () changes when required. It is callable as a normal user command.The gpasswd command is used to administer /etc/group, and /etc/gshadow. Every group can have administrators, members and a password.The groupadd command creates a new group account using the values specified on the command line plus the default values from the system. The new group will be entered into the system files as needed.The groupadd command exits with the following values: The groupdel command exits with the following values: The groupdel command modifies the system account files, deleting all entries that refer to GROUP. The named group must exist.The groupmems command allows a user to administer his/her own group membership list without the requirement of superuser privileges. The groupmems utility is for systems that configure its users to be in their own name sake primary group (i.e., guest / guest).The groupmems executable should be in mode 2770 as user root and in group groups. The system administrator can add users to group groups to allow or disallow them using the groupmems utility to manage their own group membership list.The groupmod command exits with the following values: The groupmod command modifies the definition of the specified GROUP by modifying the appropriate entry in the group database.The groups command displays the current group names or ID values. If the value does not have a corresponding entry in /etc/group, the value will be displayed as the numerical group value. The optional user parameter will display the groups for the named user.The grpck command exits with the following values: The grpck command verifies the integrity of the groups information. It checks that all entries in /etc/groupand /etc/gshadow have the proper format and contain valid data. The user is prompted to delete entries that are improperly formatted or which have other uncorrectable errors.The grpconv command creates gshadow from group and an optionally existing gshadow.The grpunconv command creates group from group and gshadow and then removes gshadow.The login program is NOT responsible for removing users from the utmp file. It is the responsibility of getty8 and init8 to clean up apparent ownership of a terminal session. If you use login from the shell prompt without exec, the user you use will continue to appear to be logged in even after you log out of the "subsession".The login program is used to establish a new session with the system. It is normally invoked automatically by responding to the login: prompt on the user's terminal. login may be special to the shell and may not be invoked as a sub-process. When called from a shell, login should be executed as exec login which will cause the user to exit from the current shell (and thus will prevent the new logged in user to return to the session of the caller). Attempting to execute login from any shell but the login shell will produce an error message.The newgrp command is used to change the current group ID during a login session. If the optional flag is given, the user's environment will be reinitialized as though the user had logged in, otherwise the current environment, including current working directory, remains unchanged.The newusers command reads a file (or the standard input by default) and uses this information to update a set of existing users or to create new users. Each line is in the same format as the standard password file (see passwd5) with the exceptions explained below:The nologin command appearred in BSD 4.4.The nologin command displays a message that an account is not available and exits non-zero. It is intended as a replacement shell field for accounts that have been disabled.The passwd command changes passwords for user accounts. A normal user may only change the password for his/her own account, while the superuser may change the password for any account. passwd also changes the account or associated password validity period.The passwd command exits with the following values: The pwck command exits with the following values: The pwck command verifies the integrity of the users and authentication information. It checks that all entries in /etc/passwd and /etc/shadow(or the files in /etc/tcb, when is enabled) have the proper format and contain valid data. The user is prompted to delete entries that are improperly formatted or which have other uncorrectable errors.The pwconv command creates shadow from passwd and an optionally existing shadow.The pwunconv command creates passwd from passwd and shadow and then removes shadow.The sg command works similar to newgrp but accepts a command. The command will be executed with the /bin/sh shell. With most shells you may run sg from, you need to enclose multi-word commands in quotes. Another difference between newgrp and sg is that some shells treat newgrp specially, replacing themselves with a new instance of a shell that newgrp creates. This doesn't happen with sg, so upon exit from a sg command you are returned to your previous group ID.The su command is used to become another user during a login session. Invoked without a , su defaults to becoming the superuser. The optional argument may be used to provide an environment similar to what the user would expect had the user logged in directly.The useradd command exits with the following values: The userdel command exits with the following values: The userdel command modifies the system account files, deleting all entries that refer to the user name LOGIN. The named user must exist.The usermod command modifies the system account files to reflect the changes that are specified on the command line.The vipw and vigr commands edits the files /etc/passwd and /etc/group, respectively. With the flag, they will edit the shadow versions of those files, /etc/shadow and /etc/gshadow, respectively. The programs will set the appropriate locks to prevent file corruption. When looking for an editor, the programs will first try the environment variable $VISUAL, then the environment variable $EDITOR, and finally the default editor, vi1.The limits file (/etc/limits by default or LIMITS_FILE defined config.h) describes the resource limits you wish to impose. It should be owned by root and readable by root account only.The login.access file specifies (user, host) combinations and/or (user, tty) combinations for which a login will be either accepted or refused.The EXCEPT operator makes it possible to write very compact rules.The LIMITS_STRING is a string of a concatenated list of resource limits. Each limit consists of a letter identifier followed by a numerical limit.The lckpwdf and ulckpwdf routines should be used to insure exclusive access to the /etc/shadow file. lckpwdf attempts to acquire a lock using pw_lock for up to 15 seconds. It continues by attempting to acquire a second lock using spw_lock for the remainder of the initial 15 seconds. Should either attempt fail after a total of 15 seconds, lckpwdf returns -1. When both locks are acquired 0 is returned.The $HOME, $SHELL, $USER, $LOGNAME, $PATH, and $IFS environment variables are reset.The HZ environment variable is only set when the user (the superuser) logs in with sulogin.The /etc/login.defs file defines the site-specific configuration for the shadow password suite. This file is required. Absence of this file will not prevent system operation, but will probably result in undesirable operation.The lastlog file is a database which contains info on the last login of each user. You should not rotate it. It is a sparse file, so its size on the disk is usually much smaller than the one shown by "ls -l" (which can indicate a really big file if you have in passwd users with a high UID). You can display its real size with "ls -s".The and options cannot be combined.The , and options are only used when login is invoked by root.The and variables are used by useradd, usermod, and userdel to create, move, or delete the user's mail spool.The SELinux user for the user's login. The default is to leave this field blank, which causes the system to select the default SELinux user.The attempt to su is automatically successful; no password is asked for.The attempt to su is stopped before a password is even asked for.The available methods are DES, MD5, NONE, and SHA256 or SHA512 if your libc support these methods.The available methods are DES, MD5, and NONE.The checks for correct number of fields and unique group name are fatal. If an entry has the wrong number of fields, the user will be prompted to delete the entire line. If the user does not answer affirmatively, all further checks are bypassed. An entry with a duplicated group name is prompted for deletion, but the remaining checks will still be made. All other errors are warnings and the user is encouraged to run the groupmod command to correct the error.The checks for correct number of fields and unique user name are fatal. If the entry has the wrong number of fields, the user will be prompted to delete the entire line. If the user does not answer affirmatively, all further checks are bypassed. An entry with a duplicated user name is prompted for deletion, but the remaining checks will still be made. All other errors are warning and the user is encouraged to run the usermod command to correct the error.The command interpreter field provides the name of the user's command language interpreter, or the name of the initial program to execute. The login program uses this information to set the value of the $SHELL environmental variable. If this field is empty, it defaults to the value /bin/sh.The commands which operate on the /etc/groupfileand /etc/gshadow files are not able to alter corrupted or duplicated entries. grpck should be used in those circumstances to remove the offending entries.The commands which operate on the /etc/passwd file are not able to alter corrupted or duplicated entries. pwck should be used in those circumstances to remove the offending entry.The comment field is used by various system utilities, such as finger1.The current environment is passed to the new shell. The value of $PATH is reset to /bin:/usr/bin for normal users, or /sbin:/bin:/usr/sbin:/usr/bin for the superuser. This may be changed with the and definitions in /etc/login.defs.The date of expiration of the account, expressed as the number of days since Jan 1, 1970.The date of the last password change, expressed as the number of days since Jan 1, 1970.The date on which the user account is disabled.The date on which the user account will be disabled. The date is specified in the format YYYY-MM-DD.The default base directory for the system if  HOME_DIR is not specified. BASE_DIR is concatenated with the account name to define the home directory. If the option is not used, BASE_DIR must exist.The default behavior (if the , , and options are not specified) is defined by the variable in /etc/login.defs.The default encryption algorithm can be defined for the system with the or variables of /etc/login.defs, and can be overwitten with the , , or options.The default encryption algorithm can be defined for the system with the variable of /etc/login.defs, and can be overwiten with the , , or options.The default entry is denoted by username "*". If you have multiple default entries in your LIMITS_FILE, then the last one will be used as the default entry.The default value for (resp. ) is 1000 (resp. 60000).The default value for (resp. ) is 101 (resp. -1).The default value for (resp. ) is 101 (resp. -1).The default value for (resp. ) is 1000 (resp. 60000).The default value is 0, meaning that there are no limits in the number of members in a group.The default values for , , are respectively 100000, 600100000 and 10000.The default values for , , are respectively 100000, 600100000 and 10000.The device should be specified without the /dev/ prefix.The encrypted password field may be blank, in which case no password is required to authenticate as the specified login name. However, some applications which read the /etc/passwd file may decide not to permit any access at all if the password field is blank. If the password field is a lower-case x, then the encrypted password is actually stored in the shadow5 file instead; there must be a corresponding line in the /etc/shadow file, or else the user account is invalid. If the password field is any other string, then it will be treated as an encrypted password, as specified by crypt3.The encrypted password, as returned by crypt3.The encrypted password, as returned by crypt3. The default is to disable the password.The executed command will have no controlling terminal. This option cannot be used to execute interactive programs which need a controlling TTY.The file /etc/suauth is referenced whenever the su command is called. It can change the behaviour of the su command, based upon:The file contains fixed length records, indexed by numerical UID. Each record contains the count of login failures since the last successful login; the maximum number of failures before the account is disabled; the line on which the last login failure occurred; the date of the last login failure; and the duration (in seconds) during which the account will be locked after a failure.The file is formatted like this, with lines starting with a # being treated as comment lines and ignored;The file mode creation mask is initialized to this value. If not specified, the mask will be initialized to 022.The first field should be a "+" (access granted) or "-" (access denied) character. The second field should be a list of one or more login names, group names, or ALL (always matches). The third field should be a list of one or more tty names (for non-networked logins), host names, domain names (begin with "."), host addresses, internet network numbers (end with "."), ALL (always matches) or LOCAL (matches any string that does not contain a "." character). If you run NIS you can use @netgroupname in host or user patterns.The following configuration items are provided:The following configuration variable in /etc/login.defs changes the behavior of grpconv and grpunconv:The following configuration variables in /etc/login.defs change the behavior of pwconv:The following configuration variables in /etc/login.defs change the behavior of this tool:The following cross references show which programs in the shadow password suite use which parameters.The following entries allow access only to the users root and oper on /dev/console at any time. This illustrates how the /etc/porttime file is an ordered list of access times. Any other user would match the second entry which does not permit access at any time.The following entry allows access for the user games on any port during non-working hours.The following entry allows access to user jfh on every port during weekdays from 9am to 5pm.The group ID of the given GROUP will be changed to GID.The group file is searched only when a name does not match that of the logged-in user. Only groups are matched in which users are explicitly listed: the program does not look at a user's primary group id value.The group name or ID for a new user's initial group (when the is used or when the variable is set to no in /etc/login.defs). The named group must exist, and a numerical group ID must have an existing entry.The group name or number of the user's initial login group. The group name must exist. A group number must refer to an already existing group.The group name or number of the user's new initial login group. The group must exist.The group ownership of files outside of the user's home directory must be fixed manually.The home directory field provides the name of the initial working directory. The login program uses this information to set the value of the $HOME environmental variable.The input file must be protected since it contains unencrypted passwords.The invoked shell is chosen from (highest priority first): The limits specified in the form "@group" apply to the members of the specified group.The location of files is subject to differences in system configuration.The mail spool directory. This is needed to manipulate the mailbox when its corresponding user account is modified or deleted. If not specified, a compile-time default is used.The mail spool is defined by the variable in the login.defs file.The maximum failure count should always be 0 for root to prevent a denial of services attack against the system.The maximum number of days a password may be used. If the password is older than this, a password change will be forced. If not specified, -1 will be assumed (which disables the restriction).The maximum password age is the number of days after which the user will have to change her password.The meanings of each field are:The minimum number of days allowed between password changes. Any password changes attempted sooner than this will be rejected. If not specified, -1 will be assumed (which disables the restriction).The minimum password age is the number of days the user will have to wait before she will be allowed to change her password again.The name of a new user's login shell.The name of the group will be changed from GROUP to NEW_GROUP name.The name of the user will be changed from LOGIN to NEW_LOGIN. Nothing else is changed. In particular, the user's home directory or mail spool should probably be renamed manually to reflect the new login name.The name of the user's login shell. The default is to leave this field blank, which causes the system to select the default login shell specified by the variable in /etc/default/useradd, or an empty string by default.The name of the user's new login shell. Setting this field to blank causes the system to select the default login shell.The new SELinux user for the user's login.The new numerical value of the user's ID.The new user will be created using HOME_DIR as the value for the user's login directory. The default is to append the LOGIN name to BASE_DIR and use that as the login directory name. The directory HOME_DIR does not have to exist but will not be created if it is missing.The new value of the user's password file comment field. It is normally modified using the chfn1 utility.The number of days after a password expires until the account is permanently disabled.The number of days after a password expires until the account is permanently disabled. A value of 0 disables the account as soon as the password has expired, and a value of -1 disables the feature.The number of days after a password has expired (see the maximum password age above) during which the password should still be accepted (and the user should update her password during the next login).The number of days after a password has expired before the account will be disabled.The number of days before a password is going to expire (see the maximum password age above) during which the user should be warned.The number of days warning given before a password expires. A zero means warning is given only upon the day of expiration, a negative value means no warning is given. If not specified, no warning will be provided.The numeric identifiers of new system groups are chosen in the - range, defined in login.defs, instead of -.The numerical value of the group's ID. This value must be unique, unless the option is used. The value must be non-negative. The default is to use the smallest ID value greater than or equal to and greater than every other group.The numerical value of the user's ID. This value must be unique, unless the option is used. The value must be non-negative. The default is to use the smallest ID value greater than or equal to and greater than every other user.The only restriction placed on the login shell is that the command name must be listed in /etc/shells, unless the invoker is the superuser, and then any value may be added. An account with a restricted login shell may not change her login shell. For this reason, placing /bin/rsh in /etc/shells is discouraged since accidentally changing to a restricted shell would prevent the user from ever changing her login shell back to its original value.The options cannot be combined.The options which apply to the chage command are:The options which apply to the chfn command are:The options which apply to the chgpasswd command are:The options which apply to the chpasswd command are:The options which apply to the chsh command are:The options which apply to the expiry command are:The options which apply to the faillog command are:The options which apply to the gpasswd command are:The options which apply to the groupadd command are:The options which apply to the groupdel command are:The options which apply to the groupmems command are:The options which apply to the groupmod command are:The options which apply to the grpck command are:The options which apply to the lastlog command are:The options which apply to the newusers command are:The options which apply to the passwd command are:The options which apply to the pwck command are:The options which apply to the pwconv, pwunconv, grpconv, and grpunconv commands are:The options which apply to the su command are:The options which apply to the useradd command are:The options which apply to the userdel command are:The options which apply to the usermod command are:The options which apply to the vipw and vigr commands are:The ownership of files outside of the user's home directory must be fixed manually.The password is used when an user who is not a member of the group wants to gain the permissions of this group (see newgrp1).The password will be written in the local /etc/passwd or /etc/shadow file. This might differ from the password database configured in your PAM configuration.The path prefix for a new user's home directory. The user's name will be affixed to the end of BASE_DIR to form the new user's home directory name, if the option is not used when creating a new account.The range of users can be restricted with the option.The requested command could not be executedThe requested command was not foundThe return code of the script is not taken into account.The security of a password depends upon the strength of the encryption algorithm and the size of the key space. The legacy UNIX System encryption method is based on the NBS DES algorithm. More recent methods are now recommended (see ). The size of the key space depends upon the randomness of the password which is selected.The shell indicated in the /etc/passwd entry for the target user.The shell specified with --shell.The shell that will be invoked.The skeleton directory, which contains files and directories to be copied in the user's home directory, when the home directory is created by useradd.The string used for prompting a password. The default is to use "Password: ", or a translation of that string. If you set this variable, the prompt will not be translated.The structure of the file is:The superuser can specify which group membership list to modify.The system administrator is responsible for placing the default user files in the /etc/skel/ directory (or any other skeleton directory specified in /etc/default/useradd or on the command line).The terminal permissions: the login tty will be owned by the group, and the permissions will be set to .The user is first prompted for his/her old password, if one is present. This password is then encrypted and compared against the stored password. The user has only one chance to enter the correct password. The superuser is permitted to bypass this step so that forgotten passwords may be changed.The user is then prompted for a password, where appropriate. Echoing is disabled to prevent revealing the password. Only a small number of password failures are permitted before login exits and the communications link is severed.The user is then prompted twice for a replacement password. The second entry is compared against the first and both are required to match in order for the password to be changed.The user will be prompted for a password, if appropriate. Invalid passwords will produce an error message. All attempts, both valid and invalid, are logged to detect abuse of the system.The user's mailbox, and any files which the user owns and which are located in the user's home directory will have the file user ID changed automatically.The user's new login directory.The users can be specified by a login name, a numerical user ID, or a RANGE of users. This RANGE of users can be specified with a min and max values (UID_MIN-UID_MAX), a max value (-UID_MAX), or a min value (UID_MIN-).The valid identifiers are:The value 0 has a special meaning, which is that the user should change her pasword the next time she will log in the system.The value 0 means that the system will choose the default number of rounds for the crypt method (5000).The value 0 should not be used as it is interpreted as either an account with no expiration, or as an expiration on Jan 1, 1970.The value can be prefixed "0" for an octal value, or "0x" for an hexadecimal value.The value of GID must be a non-negative decimal integer. This value must be unique, unless the option is used.The values must be inside the 1000-999,999,999 range.Then, the password is tested for complexity. As a general guideline, passwords should consist of 6 to 8 characters including one or more characters from each of the following sets:There could be plenty lurking. The file parser is particularly unforgiving about syntax errors, expecting no spurious whitespace (apart from beginning and end of lines), and a specific token delimiting different things.These checks are the following:These fields must not contain any colons. Except for the other field, they should not contain any comma or equal sign. It is also recommended to avoid non-US-ASCII characters, but this is only enforced for the phone numbers. The other field is used to store accounting information used by other applications.These four programs all operate on the normal and shadow password and group files: /etc/passwd, /etc/group, /etc/shadow, and /etc/gshadow.These routines may only be used by the superuser as access to the shadow password file is restricted.This command is intended to be used in a large system environment where many accounts are created at a single time.This command is intended to be used in a large system environment where many accounts are updated at a single time.This defines the system default encryption algorithm for encrypting passwords (if no algorithm are specified on the command line).This feature (split group) permits to limit the length of lines in the group file. This is useful to make sure that lines for NIS groups are not larger than 1024 characters.This field defines the shell of the user. No checks are performed on this field.This field is copied in the GECOS field of the user.This field is reserved for future use.This field is used to define the UID of the user.This field is used to define the home directory of the user.This field is used to define the primary group ID for the user.This field may be empty, in which case no passwords are required to authenticate as the specified login name. However, some applications which read the /etc/shadow file may decide not to permit any access at all if the password field is empty.This field may be empty, in which case only the group members can gain the group permissions.This field will be encrypted and used as the new value of the encrypted password.This file is a readable text file, each line of the file describing one configuration parameter. The lines consist of a configuration name and value, separated by whitespace. Blank lines and comment lines are ignored. Comments are introduced with a "#" pound sign and the pound sign must be the first non-white character of the line.This file must not be readable by regular users if password security is to be maintained.This is the name of the user.This option can be used only with and causes show status for all users.This option causes the command to simply exit with success status if the specified group already exists. When used with , and the specified GID already exists, another (unique) GID is chosen (i.e. is turned off).This option forces the removal of the user account, even if the user is still logged in. It also forces userdel to remove the user's home directory and mail spool, even if another user uses the same home directory or if the mail spool is not owned by the specified user. If is defined to yes in /etc/login.defs and if a group exists with the same name as the deleted user, then this group will be removed, even if it is still the primary group of another user.This option has no effect when is enabled.This option is only valid if the (or ) option is specified.This option is only valid in combination with the (or ) option.This option is only valid in combination with the option.This option is used to disable an account after the password has been expired for a number of days. After a user account has had an expired password for INACTIVE days, the user may no longer sign on to the account.This option may be specified multiple times to add multiple ranges to a users account.This option may be specified multiple times to remove multiple ranges to a users account. When both and are specified, the removal of all subordinate gid ranges happens before any subordinate gid range is added.This option may be specified multiple times to remove multiple ranges to a users account. When both and are specified, the removal of all subordinate uid ranges happens before any subordinate uid range is added.This option permits to add a group with a non-unique GID.This option requires a /etc/shadow file. A /etc/shadow entry will be created if there were none.This option sets the variable in /etc/default/useradd.This option sets the variable in /etc/default/useradd.This option sets the variable in /etc/default/useradd.This option sets the variable in /etc/default/useradd.This option sets the variable in /etc/default/useradd.This parameter specifies which values in the gecos field of the /etc/passwd file may be changed by regular users using the chfn program. It can be any combination of letters f, r, w, h, for Full name, Room number, Work phone, and Home phone, respectively. For backward compatibility, yes is equivalent to rwh and no is equivalent to frwh. If not specified, only the superuser can make any changes. The most restrictive setting is better achieved by not installing chfn SUID.This password supersedes any password specified in /etc/group.This setting does not apply to system users, and can be overridden on the command line.This tool only operates on the /etc/group and /etc/gshadow files.file. Thus you cannot change any NIS or LDAP group. This must be performed on the corresponding server.This value must be unique, unless the option is used. The value must be non-negative.This variable is deprecated. You should use .This variable is superseded by the variable or by any command line option used to configure the encryption algorithm.This version of login has many compilation options, only some of which may be in use at any particular site.This version of su has many compilation options, only some of which may be in use at any particular site.This will most likely be overridden by PAM, since the default pam_unix module has its own built in of 3 retries. However, this is a safe fallback in case you are using an authentication module that does not enforce PAM_MAXTRIES.ThomasTo completely disable limits for a user, a single dash "-" will do.To disable a limit for a user, a single dash "-" can be used instead of the numerical value for this limit.To disable all logins, investigate nologin5.U: max number of processesUID already in use (and no )USE_TCBUnlock a user's password. This removes the '!' in front of the encrypted password. You can't use this option with or .Unlock the password of the named account. This option re-enables a password by changing the password back to its previous value (to the value before using the option).Use MD5 encryption instead of DES when the supplied passwords are not encrypted.Use the specified method to encrypt the passwords.Use the specified number of rounds to encrypt the passwords.User CommandsUser account information.Usernames may only be up to 32 characters long.Usernames must start with a lower case letter or an underscore, followed by lower case letters, digits, underscores, or dashes. They can end with a dollar sign. In regular expression terms: [a-z_][a-z0-9_-]*[$]?Users may not be able to change their password on a system if NIS is enabled and they are not logged into the NIS server.Users who use the group as primary group will be updated to keep the group as their primary group.Users with a locked password are not allowed to change their password.VISUALWarn about weak passwords (but still allow them) if you are root.When is used, it must be specified before any . For portability it is recommended to use it as last option, before any . The other forms ( and ) do not have this restriction.When is set to SHA256 or SHA512, this defines the number of SHA rounds used by the encryption algorithm by default (when the number of rounds is not specified on the command line).When PAM is used to encrypt the passwords (and update the passwords in the system database) then if a password cannot be updated chpasswd continues updating the passwords of the next users, and will return an error code on exit.When invoked with only the option, useradd will display the current default values. When invoked with plus other options, useradd will update the default values for the specified options. Valid default-changing options are:When invoked without the option, the useradd command creates a new user account using the values specified on the command line plus the default values from the system. Depending on command line options, the useradd command will update system files and may also create the new user's home directory and copy initial files.When none of the , , or options are used, faillog displays the faillog record of the specified user(s).When someone logs in, the login.access is scanned for the first entry that matches the (user, host) combination, or, in case of non-networked logins, the first entry that matches the (user, tty) combination. The permissions field of that table entry determines whether the login will be accepted or refused.When used with the option, allow to change the group GID to a non-unique value.When used with the option, this option allows to change the user ID to a non-unique value.Where to-id is either the word ALL, a list of usernames delimited by "," or the words ALL EXCEPT followed by a list of usernames delimited by ",".With a lot of rounds, it is more difficult to brute forcing the password. But note also that more CPU resources will be needed to authenticate users.With the , , , options, the users' records are changed, even if the user does not exist on the system. This is useful to reset records of users that have been deleted or to set a policy in advance for a range of users.Write access to /var/log/faillog is required for this option.You can find advices on how to choose a strong password on http://en.wikipedia.org/wiki/Password_strengthYou can only use this option with the SHA256 or SHA512 crypt method.You can use the argument to separate su options from the arguments supplied to the shell.You may not add a NIS or LDAP group. This must be performed on the corresponding server.You may not add a user to a NIS or LDAP group. This must be performed on the corresponding server.You may not remove any NIS attributes on a NIS client. This must be performed on the NIS server.You may not remove the primary group of any existing user. You must remove the user before you remove the group.You must change the owner of any crontab files or at jobs manually.You must make any changes involving NIS on the NIS server.You must make certain that the named user is not executing any processes when this command is being executed if the user's numerical user ID, the user's name, or the user's home directory is being changed. usermod checks this on Linux, but only check if the user is logged in according to utmp on other architectures.You should disable it if the shell startup files already check for mail ("mailx -e" or equivalent).You should make sure the password respects the system's password policy.You should make sure the passwords and the encryption method respect the system's password policy.You should manually check all file systems to ensure that no files remain owned by this group.You should manually check all file systems to ensure that no files remain owned by this user.You should use the same list of users as in /etc/group.Your user and group ID will be set according to their values in the /etc/passwd file. The value for $HOME, $SHELL, $PATH, $LOGNAME, and $MAIL are set according to the appropriate fields in the password entry. Ulimit, umask and nice values may also be set according to entries in the GECOS field.a corresponding entry in the /etc/gshadow file (respectively /etc/group for the gshadow checks)a unique and valid group namea unique and valid user namea valid group identifier (/etc/group only)a valid home directorya valid list of members and administratorsa valid login shella valid primary groupa valid user and group identifieraccount expiration dateadminister administer and administer members of a user's primary groupadministratorsbegin session on the systemcan't create home directorycan't find the shadow password filecan't lock group filescan't lock password filescan't open group filescan't open password filescan't remove home directorycan't remove user's primary groupcan't sort password filescan't update SELinux user mappingcan't update group filecan't update group filescan't update password filecan't update password fileschagechange login shellchange password in REPOSITORY repositorychange real user name and informationchange user ID or become superuserchange user passwordchange user password expiry informationcheck and enforce password expiration policychfnchgpasswdchpasswdchshconvert to and from shadow passwords and groupscreate a new groupcreate a new user or update default new user informationdate of last password changedelete a groupdelete a user account and related filesdetailed su control filedigits 0 thru 9display current group namesdisplay faillog records or set login failure limitsedit the password, group, shadow-password or shadow-group fileencrypted passwordencrypted password file routinesenforce login time restrictionsevery passwd entry has a matching shadow entry, and every shadow entry has a matching passwd entryexecute command as different group IDexpiryfaillogfilefrom-id is formatted the same as to-id except the extra word GROUP is recognised. ALL EXCEPT GROUP is perfectly valid too. Following GROUP appears one or more group names, delimited by ",". It is not sufficient to have primary group id of the relevant group, an entry in /etc/group5 is neccessary.getspnamgpasswdgroupgroup commandgroup namegroup name already in usegroup name not uniquegroup_namegroupaddgroupdelgroupmemsgroupmodgroupsgrpckgrpconvgrpunconvgshadowhostint lckpwdf();int putspent(struct spwdint ulckpwdf();invalid argument to optioninvalid combination of optionsinvalid command syntaxkloczek@pld.org.pllastloglimitslog in to a new grouploginlogin access control tablelogin failure logging filelogin namelogin.accesslogin.defslogoutdlower case alphabeticsmaximum password agemembersminimum password agemodify a group definition on the systemmodify a user accountnewgrpnewgrp / sgnewusersnicolas.francois@centraliens.netnologinnumerical group IDnumerical user IDone or more bad group entriesone or more bad password entriesoptionoptional encrypted passwordoptional encrypted password fileoptional user command interpreteroptionsor in the form:passwdpassword inactivity periodpassword warning periodpasswords are specified in the shadowed filepermission deniedpolitely refuse a loginport access time fileporttimepunctuation markspw_dirpw_gecospw_gidpw_namepw_name:pw_passwd:pw_uid:pw_gid:pw_gecos:pw_dir:pw_shellpw_passwdpw_shellpw_uidpwckpwconvpwunconvreports the most recent login of all users or of a given userreserved fieldreset according to the /etc/login.defs options or (see below);reset to <space><tab><newline>, if it was set.resource limits definitionsecure group account informationsgshadowshadow entries are unique in shadowshadow entries have the correct number of fieldsshadow password suite configurationshadow-utilsshadow-utils maintainer, 2000 - 2007shadow-utils maintainer, 2007 - nowshadowed group fileshadowed password filesp_expire - days since Jan 1, 1970 when account will be disabledsp_flag - reserved for future usesp_inact - days after password expires that account is considered inactive and disabledsp_lstchg - days since Jan 1, 1970 password was last changedsp_max - days after which password must be changedsp_min - days before which password may not be changedsp_namp - pointer to null-terminated user namesp_pwdp - pointer to null-terminated passwordsp_warn - days before password is to expire that user is warned of pending password expirationspecified group doesn't existspecified user doesn't existstruct spwd *fgetspent(FILEstruct spwd *getspent();struct spwd *getspnam(charstruct spwd *sgetspent(charstruct spwd { char *sp_namp; /* user login name */ char *sp_pwdp; /* encrypted password */ long int sp_lstchg; /* last password change */ long int sp_min; /* days until change allowed. */ long int sp_max; /* days before change required */ long int sp_warn; /* days warning for expiration */ long int sp_inact; /* days before account inactive */ long int sp_expire; /* date when account expires */ unsigned long int sp_flag; /* reserved for future use */ } susuauthsuccesssuccess ( only)suloginthe correct number of fieldsthe last password changes are not in the futurethe password filetranslator-creditsunexpected failure, passwd file missingunexpected failure, nothing doneupdate and create new users in batchupdate group passwords in batch modeupdate passwords in batch modeuseruser LIMITS_STRINGuser currently logged inuser home directoryuser name or comment fielduser_nameuseradduserdelusermodusernameusername already in useverify integrity of group filesverify integrity of password filesvigrvipwvoid endspent();void setspent();Project-Id-Version: shadow-man-pages 4.0.18 PO-Revision-Date: 2015-08-04 21:59+0200 Last-Translator: Thomas Blein Language-Team: French Language: fr MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Generator: Lokalize 1.5 X-Poedit-Language: French X-Poedit-Country: FRANCE Plural-Forms: nplurals=2; plural=(n > 1); $ groupadd -r groups $ chmod 2770 groupmems $ chown root.groups groupmems $ groupmems -g groups -a gk4 # exemple de fichier /etc/suauth # # Deux utilisateurs privilégiés peuvent # devenir root avec leur propre mot de passe. # root:chris,birddog:OWNPASS # # Les autres ne peuvent pas de venir root avec # su, à l'exception des membres du groupe wheel. # Ceci correspond au comportement des BSD. # root:ALL EXCEPT GROUP wheel:DENY # # terry et birddog sont des comptes possédés # par la même personne. # Un accès sans mot passe est aménagé # entre ces deux comptes. # terry:birddog:NOPASS birddog:terry:NOPASS # 1) l'utilisateur cible de su console:root,oper:Al0000-2400 console:*: vers-id:par-id:ACTION utilisateur L2D2048N5 utilisateur L2 D2048 N5 #! /bin/sh # Check for the required argument. if [ $# != 1 ]; then echo "Usage: $0 username" exit 1 fi # Remove cron jobs. crontab -r -u $1 # Remove at jobs. # Note that it will remove any jobs owned by the same UID, # even if it was shared by a different username. AT_SPOOL_DIR=/var/spool/cron/atjobs find $AT_SPOOL_DIR -name "[^.]*" -type f -user $1 -delete \; # Remove print jobs. lprm $1 # All done. exit 0 si ( UID est inférieur à 1000) { utiliser /etc/tcb/user } sinon, et si ( UID est inférieur à 1000000) { kilos = UID / 1000 utiliser /etc/tcb/:kilos/user faire un lien symbolique de /etc/tcb/user vers le répertoire précédent } sinon { megas = UID / 1000000 kilos = ( UID / megas * 1000000 ) / 1000 utiliser /etc/tcb/:megas/:kilos/user faire un lien symbolique de /etc/tcb/user vers le répertoire précédent } struct faillog { short fail_cnt; /* compteur des échecs */ short fail_max; /* nb max avant désactivation */ char fail_line[12]; /* ligne du dernier échec */ time_t fail_time; /* date du dernier échec */ long fail_locktime;};#include <shadow.h>$HOME/.hushlogin$IFS$PATH);*:games:Wk1700-0900,SaSu0000-2400*:jfh:Wk0900-1700*cp*fp*nom*p,--D-M-a -c-d -f-g -h-h -l-p-r-r /etc/default/useradd/etc/group/etc/gshadow/etc/limits/etc/login.defs/etc/motd/etc/nologin/etc/pam.d/chpasswd/etc/pam.d/newusers/etc/pam.d/passwd/etc/passwd/etc/passwd-/etc/porttime/etc/shadow/etc/shadow-/etc/shells/etc/skel//etc/suauth/etc/subgid/etc/subuid/etc/ttytype/var/log/faillog/var/log/lastlog/var/log/wtmp/var/run/utmp011012126127141522) l'utilisateur qui exécute la commande su (ou un groupe dont il est membre)345689chage1, login1, passwd1, passwd5, pwck8, pwconv8, pwunconv8, su1, sulogin8.chfn1, chsh1, passwd1, crypt3, gpasswd8, groupadd8, groupdel8, groupmod8, login.defs5, subgid5, subuid5, useradd8, userdel8.chfn1, chsh1, passwd1, crypt3, groupadd8, groupdel8, groupmod8, login.defs5, newusers8, subgid5, subuid5, userdel8, usermod8.chfn1, chsh1, passwd1, gpasswd8, groupadd8, groupdel8, login.defs5, useradd8, userdel8, usermod8.chfn1, chsh1, passwd1, gpasswd8, groupadd8, groupmod8, useradd8, userdel8, usermod8.chfn1, chsh1, passwd1, gpasswd8, groupdel8, groupmod8, login.defs5, useradd8, userdel8, usermod8.chfn1, chsh1, passwd1, groupadd8, groupdel8, useradd8, userdel8, usermod8.chfn1, chsh1, passwd1, login.defs5, gpasswd8, groupadd8, groupdel8, groupmod8, subgid5, subuid5, useradd8, usermod8.chfn1, login.defs5, passwd5.chpasswd8, passwd5, shadow5, login.defs5, usermod8.chsh1, login.defs5, passwd5.crypt3, getent1, getpwnam3, login1, passwd1, pwck8, pwconv8, pwunconv8, shadow5, su1, sulogin8.getpwent3, shadow5.gpasswd1, groupadd8, login.defs5.gpasswd5, group5, grpck8, grpconv8, newgrp1.group5, groupmod8, gshadow5, , passwd5, pwck8, shadow5.group5, grpck8, passwd5, shadow5, usermod8.grpck8, login.defs5, pwck8, tcb_convert8, tcb_unconvert8.id1, login1, newgrp1, su1, gpasswd1, group5, gshadow5.id1, login1, su1, sg1, gpasswd1, group5, gshadow5.login.defs5, passwd1, subgid5, subuid5, useradd8.login1, faillog5.login1, login.defs5, sg1, sh1.login1, nologin5.login1, passwd1, su1, passwd5, shadow5, pam8.login1, setpriority2, setrlimit2.login1.mail1, passwd1, sh1, su1, login.defs5, nologin5, passwd5, securetty5, getty8.newgrp1, getgid2, getgroups2, getuid2.newgrp1, groupadd8, groupdel8, groupmod8, grpck8, group5, gshadow5.passwd1, newusers8, login.defs5, useradd8.passwd5, shadow5.su1.vi1, group5, gshadow5login.defs5, passwd5, tcb5, shadow5.faillog affiche le contenu du journal des échecs de connexion (/var/log/faillog). Il peut aussi configurer le décompte et les limitations de ces échecs. Exécuter faillog sans argument n'affiche que la liste des échecs des utilisateurs qui ont déjà eu un échec de connexion.faillog n'affiche que les utilisateurs n'ayant pas eu de connexion réussie depuis leur dernier échec. Pour afficher un utilisateur ayant eu une connexion réussie depuis son dernier échec, vous devez explicitement demander cet utilisateur avec l'option , ou demander l'affichage de tous les utilisateurs avec l'option .gpasswd appelée par un administrateur de groupeun administrateur système avec un nom de groupe demande seulement le nouveau mot de passe du groupe.lastlog affiche le contenu du journal des dernières connexions (/var/log/lastlog). Les champs Utilisateur, Port, date de Dernière connexion sont affichés. Par défaut (aucune option de spécifiée), les entrées de lastlog sont affichées triées par ordre d'apparition dans /etc/passwd.logoutd impose les restrictions (sur les ports, la date et l'heure de connexion) spécifiées dans /etc/porttime. logoutd doit être démarré depuis /etc/rc. Il analyse le fichier /var/run/utmp régulièrement et, pour chaque utilisateur, il vérifie que ce nom d'utilisateur est autorisé à être connecté à ce port à ce moment. Toute session en violation avec les restrictions de /etc/porttime est terminée.newgrp change l'identifiant de groupe réel actuel à la valeur du groupe indiqué, ou au groupe par défaut défini dans /etc/passwd si aucun nom de groupe n'est fourni. newgrp essaiera également d'ajouter le groupe à l'ensemble des groupes de l'utilisateur. Si l'utilisateur n'est pas superutilisateur, un mot de passe lui sera demandé s'il n'utilise pas de mot de passe (dans /etc/shadow, si cet utilisateur a une entrée dans le fichier des mots de passe cachés, ou dans /etc/passwd sinon), mais que le groupe en a un, ou si l'utilisateur n'est pas dans la liste des membres de ce groupe et que ce groupe utilise un mot de passe. L'accès sera refusé si le mot de passe du groupe est vide et que l'utilisateur ne fait pas partie de ses membres.newusers essayera d'abord de créer ou de modifier tous les utilisateurs indiqués puis écrira ces modifications dans les bases de données d'utilisateurs et de groupes. Si une erreur survient (en dehors de l'écriture finale des bases de données), aucune modification ne sera propagée dans les bases de données.passwd utilise PAM pour authentifier les utilisateurs et modifier leur mot de passe.pwconv ne fonctionne pas avec activée. Pour convertir les mots de passe vers tcb, vous devez d'abord utiliser pwconv pour les convertir vers les mots de passe cachés en désactivant dans login.defs puis les convertir en mots de passe tcb avec tcb_convert (et en réactivant dans login.defs).Lors de l'ajout de nouvelles entrées dans /etc/shadow, pwconv utilisera les valeurs de PASS_MIN_DAYS, PASS_MAX_DAYS, et PASS_WARN_AGE définies dans le fichier /etc/login.defs.pwunconv ne fonctionne pas avec activé. Vous devez d'abord convertir les mots de passe depuis tcb vers des mots de passe cachés en utilisant tcb_unconvert puis désactiver dans login.defs avant d'utiliser pwunconv.useradd et newusers utilisent ce masque pour définir les permissions d'accès des répertoires personnels qu'ils créent.userdel ne permet pas la suppression d'un compte si des processus actifs lui appartiennent encore. Dans ce cas, il peut être nécessaire de tuer ces processus ou de simplement verrouiller le mot de passe ou le compte de l'utilisateur, afin de supprimer le compte plus tard. L'option permet de forcer la suppression du compte.usermod essayera d'adapter les permissions des fichiers et de copier les modes, ACL et attributs étendus. Cependant, vous risquez de devoir procéder à des modifications vous-même.nom_utilisateur:mot_de_passepermission:utilisateurs:originesporttime contient une liste de tty, noms d'utilisateurs, et horaires d'accès autorisés.shadow manipule le contenu du fichier des mots de passe cachés, /etc/shadow. La structure définie dans le fichier inclus est :nom_utilisateur:mot_de_passeRemarque : l'utilisation de cette option est déconseillée car le mot de passe (ou le mot de passe chiffré) peut être visible des utilisateurs qui affichent la liste des processus. Remarque : Cette option est dangereuse, elle peut laisser votre système dans un état incohérent.Getspent, getspname, fgetspent, et sgetspent renvoient tous un pointeur vers une structure struct spwd. Getspent renvoie l'entrée suivante du fichier, et fgetspent renvoie l'entrée suivante du flux qui est considéré comme étant un fichier au format correct. Sgetspent renvoie un pointeur vers une structure struct spwd en utilisant la chaîne de caractère fournie en entrée. Getspnam cherche à partir de la position courante une entrée correspondant à nom dans le fichier fourni en entrée.Setspent et endspent peuvent être utilisés pour débuter et terminer l'accès au fichier de mots de passe cachés./bin/sh si aucun interpréteur de commandes ne peut être trouvé par l'une des méthodes ci-dessus./etc/gshadow contient les informations cachées sur les groupes./etc/passwd contient différentes informations sur les comptes utilisateurs. Ces informations consistent en sept champs séparés par des deux-points (« : ») :/var/log/faillog maintient un compte des échecs de connexion et les limites pour chaque compte.fichier passwd en cours d'utilisation, veuillez réessayer plus tardLes vérifications de shadow sont activées quand un second paramètre de fichier est indiqué ou quand /etc/shadow existe sur le système.shadow est un fichier qui contient les informations cachées concernant les mots de passe des utilisateurs et leurs dates de validité., , ,  utilisateur,..., ,  DATE_FIN_VALIDITÉ,  GROUPE1[,GROUPE2,...[,GROUPEN]]],  DURÉE_INACTIVITÉ,  CLÉ=VALEUR, ,  JOURS_MAX,  utilisateur,..., ,  RÉP_CHROOT, ,  RÉP_CHROOT, , , ,  PREMIER-DERNIER,  PREMIER-DERNIER,  DURÉE_AVERTISSEMENT, ,  UTILISATEUR_SELINUX,  utilisateur,  nom_utilisateur, , ,  RÉP_BASE,  JOURS, ,  COMMANDE,  COMMENTAIRE, ,  MÉTHODE, ,  utilisateur,  nom_utilisateur,  RÉP_PERSO,  RÉP_PERSO,  DERNIER_JOUR, , ,  DATE_FIN_VALIDITÉ, ,  NOM_COMPLET,  DURÉE_INACTIVITÉ,  GID,  GROUPE, ,  nom_groupe, ,  TEL_PERSO,  DURÉE_INACTIVITÉ, ,  RÉP_SQUELETTE, ,  SEC, ,  NOUVEAU_LOGIN, , ,  MAX, ,  JOURS_MIN, , , ,  JOURS_MIN,  NOUVEAU_NOM_GROUPE, ,  AUTRE, ,  MOT_DE_PASSE, , , , , ,  REPOSITORY, ,  NUMÉRO_DE_BUREAU, , ,  ROUNDS, ,  INTERPRÉTEUR, ,  JOURS, ,  UID, , ,  LOGIN|INTERVALLE,  PREMIER-DERNIER,  PREMIER-DERNIER,  DURÉE_AVERTISSEMENT,  TEL_PRO,  JOURS_MAX (booléen) (chaîne de caractères) (booléen) (chaîne de caractères) (chaîne de caractères) (boolean) (booléen) (chaîne de caractères) (chaîne de caractères) (chaîne de caractères) (chaîne de caractères) (chaîne de caractères) (chaîne de caractères) (nombre) (booléen) (nombre) (chaîne de caractères) (chaîne de caractères) (nombre) (nombre) (chaîne de caractères) (chaîne de caractères) (nombre) (booléen) (nombre) (chaîne de caractères) (nombre) (booléen) (booléen) (booléen) (chaîne de caractères) (chaîne de caractères) (nombre) (booléen) (chaîne de caractères) (chaîne de caractères) (booléen) (booléen) (nombre) (nombre)Les paramètres , et ne sont utilisés qu'au moment de la création d'un compte. Les changements n'affecteront pas les comptes existants. (nombre) (nombre) (nombre) (nombre) (booléen) (booléen) (nombre) (nombre) (nombre) (nombre) (nombre) (nombre) (nombre) (nombre) (chaîne de caractères) (chaîne de caractères) (booléen) (booléen) (booléen) (nombre) (nombre) (nombre) (nombre) (booléen) (booléen) (chaîne de caractères) peut être le nom d'un groupe ou un identifiant numérique de groupe. (chaîne de caractères) (chaîne de caractères) (nombre) (nombre) (nombre) (nombre) (chaîne de caractères) (booléen) (booléen)CHFN_AUTH CHFN_RESTRICT LOGIN_STRINGCONSOLE CONSOLE_GROUPS DEFAULT_HOME ENV_HZ ENVIRON_FILE ENV_PATH ENV_SUPATH ENV_TZ LOGIN_STRING MAIL_CHECK_ENAB MAIL_DIR MAIL_FILE QUOTAS_ENAB SULOG_FILE SU_NAME SU_WHEEL_ONLY SYSLOG_SU_ENAB USERGROUPS_ENABCONSOLE CONSOLE_GROUPS DEFAULT_HOME ENV_HZ ENV_PATH ENV_SUPATH ENV_TZ ENVIRON_FILE ERASECHAR FAIL_DELAY FAILLOG_ENAB FAKE_SHELL FTMP_FILE HUSHLOGIN_FILE ISSUE_FILE KILLCHAR LASTLOG_ENAB LOGIN_RETRIES LOGIN_STRING LOGIN_TIMEOUT LOG_OK_LOGINS LOG_UNKFAIL_ENAB MAIL_CHECK_ENAB MAIL_DIR MAIL_FILE MOTD_FILE NOLOGINS_FILE PORTTIME_CHECKS_ENAB QUOTAS_ENAB TTYGROUP TTYPERM TTYTYPE_FILE ULIMIT UMASK USERGROUPS_ENABSauf quand PAM est utilisé pour chiffrer les mots de passe, chpasswd modifie d'abord tous les mots de passe en mémoire, puis propage toutes les modifications sur le disque si aucune erreur n'a eu lieu, quelque soit l'utilisateur.@groupe LISTE_DE_LIMITESUn paramètre SEUSER vide éliminera l'association de l'utilisateur SELinux pour l'utilisateur LOGIN (si spécifiée)Liste de groupes supplémentaires auxquels appartient également l'utilisateur. Chaque groupe est séparé du suivant par une virgule, sans espace entre eux. Les groupes sont soumis aux mêmes restrictions que celles de l'option .Liste de groupes supplémentaires auxquels appartient également l'utilisateur. Chaque groupe est séparé du suivant par une virgule, sans espace entre eux. Les groupes sont soumis aux mêmes restrictions que celles de l'option . Le comportement par défaut pour l'utilisateur est de n'appartenir qu'au groupe initial.Une valeur minimale de 1 000 et une valeur maximale de 999 999 999 seront imposées.Un champ de mot de passe qui commence avec un point d'exclamation indique que le mot de passe est bloqué. Les caractères restants sur la ligne représentent le champ de mot de passe avant que le mot de passe n'ait été bloqué.Une connexion à un sous-système est indiquée par la présence d'un « * » comme premier caractère de l'interpréteur de commandes initial. Le répertoire personnel sera utilisé comme racine d'un nouveau système de fichiers dans lequel l'utilisateur sera connecté.Une valeur de 0 désactive le compte dès que le mot de passe a dépassé sa fin de validité, et une valeur de -1 désactive cette fonctionnalité.A : espace d'adressage maximal (en kilo octets)Les valeurs d'ACTION valables sont :Ajouter une plage d'identifiants de groupe subordonnés au compte utilisateur.Ajouter une plage d'identifiants subordonnés au compte utilisateur.Ajouter un utilisateur à la liste des membres du groupe.Ajouter l'utilisateur à ce groupe.Ajouter l'utilisateur aux groupes supplémentaires. N'utilisez cette option qu'avec l'option .Des paramètres supplémentaires peuvent être fournis après le nom de l'utilisateur. Dans ce cas, ils sont donnés à l'interpréteur de commandes de connexion de l'utilisateur. En particulier, le paramètre «  » considère que le paramètre suivant est une commande pour la plupart des interpréteurs de commandes. La commande sera exécutée par l'interpréteur indiqué dans /etc/passwd pour l'utilisateur cible.Les administrateurs peuvent aussi avoir les mêmes permissions que les membres (voir ci-dessous).Les administrateurs peuvent modifier le mot de passe ou les membres du groupe.Après une connexion réussie, vous serez informé des messages du système et de la présence de courrier. Vous pouvez désactiver l'affichage du message du système (/etc/motd), en créant un fichier vide .hushlogin dans le répertoire de votre compte. Le message concernant les courriers sera « You have new mail. », « You have mail. », ou « No Mail. » suivant l'état de votre boîte aux lettres.Après expiration du mot de passe suivie de la période d'expiration, plus aucune connexion n'est possible en utilisant le mot de passe de l'utilisateur. L'utilisateur doit contacter son administrateur.Une fois que le mot de passe a été entré, les informations de limite de validité du mot de passe sont vérifiées pour s'assurer que l'utilisateur est autorisé à modifier son mot de passe à cet instant. Dans le cas contraire, passwd refuse de changer le mot de passe, et quitte.Une fois cette durée écoulée, le mot de passe restera valable. Il sera demandé à l'utilisateur de le changer la prochaine fois qu'il se connectera.Permet de créer un compte d'utilisateur avec un identifiant (« UID ») dupliqué (non unique).Notez également que les limites ne sont configurées que PAR CONNEXION. Il n'y a pas de limite globale ou permanente. Des limites globales pourraient voir le jour, mais pour l'instant, il faut faire sans.Un paramètre DATE_FIN_VALIDITÉ vide désactivera l'expiration du compte.Un champ vide ou une valeur de 0 signifie qu'il n'y a pas d'âge minimum pour le mot de passe.Un champ vide ou une valeur de 0 signifie qu'il n'y aura pas de période d'avertissement d'expiration du mot de passe.Un champ vide indique que les fonctionnalités de vieillissement de mot de passe sont désactivées.Un champ vide signifie que le compte n'expirera jamais.Un champ vide signifie qu'aucune période d'inactivité n'est imposée.Un champ vide signifie qu'il n'y a pour le mot de passe aucune limite d'âge, aucune période d'avertissement d'expiration et aucune période d'inactivité (voir ci-dessous).Une erreur dans l'analyse du fichier est reportée via syslogd8 au niveau ERR dans la catégorie AUTH.Un script d'initialisation pour votre interpréteur de commandes pourra également être exécuté. Veuillez vous référer à la section de manuel appropriée pour plus d'informations sur cette fonctionnalité.Tout fichier du répertoire personnel de l'utilisateur appartenant au groupe primaire précédent de l'utilisateur appartiendra à ce nouveau groupe.Vous devrez modifier vous-même l'identifiant de groupe des fichiers ayant l'ancien identifiant de groupe qui doivent continuer à appartenir au GROUPE.Toute chaîne de texte. C'est généralement une description courte du compte, elle est actuellement utilisée comme champ pour le nom complet de l'utilisateur.Appliquer les changements dans le répertoire RÉP_CHROOT et utiliser les fichiers de configuration du répertoire RÉP_CHROOT.Comme pour n'importe quel programme, l'apparence de login peut être imitée. Si des utilisateurs non sûrs ont un accès physique à la machine, un attaquant pourrait utiliser cet accès pour obtenir le mot de passe de la personne qui s'assiérait ensuite face à l'écran. Sous Linux, le mécanisme SAK peut être utilisé par les utilisateurs pour initier un chemin de confiance et prévenir ce genre d'attaques.BOGUESFichier de sauvegarde de /etc/passwd.Fichier de sauvegarde pour /etc/shadow.Attention : tout ce qui suit utilisateur est considéré comme une limite de chaîne. Les commentaires ne sont pas autorisés. Une chaîne de limites non valable sera rejetée (non utilisée) par le programme login.BerraPar défaut (si aucune des options , ou n'est précisée), la méthode de chiffrement est définie par les variables ou de /etc/login.defs.Par défaut, aucun quota (aucune limite) n'est imposé à « root ». En fait, il n'est pas possible d'imposer de cette façon de limite aux comptes root ou équivalents (comptes ayant un UID de 0).Par défaut, les mots de passe doivent être fournis en clair, et sont chiffrés par chpasswd. L'âge du mot de passe sera également mis à jour, s'il est présent.Par défaut, le mot de passe doit être fourni en clair, et est chiffré par chgpasswd.Par défaut, grpck opère sur /etc/group et /etc/gshadow. L'utilisateur peut préciser d'autres fichiers avec le paramètreles paramètres group et shadow.Par défaut, pwck opère sur les fichiers /etc/passwd et /etc/shadowTCB_AUTH_GROUP TCB_SYMLINK USE_TCBRÉFÉRENCES CROISÉESIl faudra faire attention à ne pas utiliser les caractères de suppression ou d'effacement. passwd rejettera tout mot de passe dont la complexité ne sera pas suffisante.Modifier le nom complet de l'utilisateur.Modifier le numéro de téléphone personnel de l'utilisateur.Modifier le numéro de téléphone professionnel de l'utilisateur.Modifier les informations GECO de l'utilisateur. Ce champ est utilisé pour enregistrer les informations de l'utilisateur utilisées par d'autres applications et peut être changé seulement par un superutilisateur.Modifier le numéro de bureau de l'utilisateur.Modifier les valeurs par défautVérifier la durée de validité du mot de passe de l'utilisateur courant.Voici les vérifications effectuées :Les compromissions de la sécurité des mots de passe résultent le plus souvent d'une négligence dans le choix du mot de passe, ou lors de son utilisation. Pour cette raison, vous ne devez pas sélectionner de mot de passe apparaissant dans un dictionnaire ou devant être écrit. Le mot de passe ne doit pas non plus être un nom propre, un numéro minéralogique, une date de naissance, ou une adresse. En effet ceux-ci pourraient être devinés pour violer la sécurité du système.Crée un groupe avec le même nom que celui de l'utilisateur, et ajoute l'utilisateur à ce groupe.Créer un compte système.Créer un groupe système.Créé le répertoire personnel de l'utilisateur s'il n'existe pas. Les fichiers et les répertoires contenus dans le répertoire squelette (qui peut être défini avec l'option ) sera copié dans le répertoire personnel.Création, 1989Création, 1990Création, 1991Création, 1992Création, 1996Création, 1997Création, 2000Création, 2005Création, 2006D : taille maximale du segment de données d'un programme (en kilo octets)DENYDESCRIPTIONDIAGNOSTICSBase de données de l'heure des connexions précédentes des utilisateurs.Valeur par défaut d'ulimit.Valeurs par défaut pour la création de comptes.Définir l'emplacement des boîtes aux lettres des utilisateurs relativement à leur répertoire personnel.Le délai en secondes avant qu'un nouvel essai soit permis après un échec de connexion.Supprimer un utilisateur de la liste des membres du groupe.Supprimer le mot de passe (le rendre vide) d'un utilisateur. C'est une façon rapide de supprimer l'authentification par mot de passe pour un compte. Il rend le compte indiqué sans mot de passe.Répertoire contenant les fichiers par défaut.Afficher (ou agir sur) les enregistrements d'erreurs de connexion pour tous les utilisateurs ayant une entrée dans la base de données faillog.Afficher l'état d'un compte. Cet état est constitué de 7 champs. Le premier champ est le nom du compte. Le second champ indique si le mot de passe est bloqué (L), n'a pas de mot de passe (NP) ou a un mot de passe utilisable (P). Le troisième champ donne la date de dernière modification du mot de passe. Les quatre champs suivants sont : la durée minimum avant modification, la durée maximum de validité, la durée d'avertissement, et la durée d'inactivité autorisée pour le mot de passe. Les durées sont exprimées en jours.Afficher l'entrée de faillog ou maintient le décompte et les limitations (suivant que l'option , ou est utilisée) seulement pour les utilisateurs indiqués.Afficher les entrées de faillog plus récentes que JOURS.Afficher un message d'aide et quitter.Ne crée pas le répertoire personnel de l'utilisateur, même si la configuration globale au système contenue dans /etc/login.defs () est configurée à yes.N'ajoute pas l'utilisateur aux bases de données lastlog et faillog.Ne crée pas de groupe avec le même nom que celui de l'utilisateur, mais ajoute l'utilisateur au groupe précisé par l'option ou par la variable dans /etc/default/useradd.Ne pas réaliser d'authentification. L'utilisateur est pré-authentifié.Lors du premier passage, les utilisateurs sont créés avec un mot de passe verrouillé (les mots de passe ne sont pas modifiés pour les utilisateurs non créés). Un second passage est utilisé pour mettre à jour les mots de passe en utilisant PAM. Les échecs de mise à jour des mots de passe sont signalés, mais n'empêchent pas les mises à jour des autres mots de passe.EDITORENCRYPT_METHOD GID_MAX GID_MIN MAX_MEMBERS_PER_GROUP MD5_CRYPT_ENAB PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDS SUB_GID_COUNT SUB_GID_MAX SUB_GID_MIN SUB_UID_COUNT SUB_UID_MAX SUB_UID_MIN SYS_GID_MAX SYS_GID_MIN SYS_UID_MAX SYS_UID_MIN UID_MAX UID_MIN UMASKENCRYPT_METHOD MAX_MEMBERS_PER_GROUP MD5_CRYPT_ENAB SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDSENCRYPT_METHOD MD5_CRYPT_ENABENCRYPT_METHOD MD5_CRYPT_ENAB OBSCURE_CHECKS_ENAB PASS_ALWAYS_WARN PASS_CHANGE_TRIES PASS_MAX_LEN PASS_MIN_LEN SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDSENV=VARENVIRONNEMENTENV_HZ ENV_TZEXEMPLEEXEMPLESVALEURS DE RETOURChaque horaire d'accès consiste en zéro ou plusieurs abréviations de jours de la semaine : Su (dimanche), Mo (lundi), Tu (mardi), We (mercredi), Th (jeudi), Fr (vendredi), Sa (samedi), suivi d'un couple d'horaires séparés par un tiret. L'abréviation Wk peut être utilisée pour représenter les jours de la semaine du lundi au vendredi, et Al permet de spécifier l'ensemble des jours de la semaine. Par défaut, si aucun jour n'est spécifié, Al est utilisé.Chaque entrée consiste en trois champs séparés par un caractère deux-points « : ». Le premier champ est une liste de tty séparés par des virgules, ou un astérisque « * » pour indiquer que l'entrée correspond à toutes les tty. Le second champ est une liste de noms d'utilisateurs, ou un astérisque pour indiquer que cette entrée correspond à n'importe quel utilisateur. Le troisième champ est une liste d'horaires d'accès autorisés.Chaque ligne décrit une limite pour un utilisateur, elle est de la forme suivante :Chaque ligne de la table de contrôle des connexions (« login access control table ») est composée de trois champs séparés par le caractère « : » :Chaque ligne de ce fichier contient 9 champs, séparés par des deux-points (:), dans l'ordre suivant :Chaque ligne de ce fichier contient les champs suivants, séparés par des deux-points (« : ») :Chaque programme place les verrous nécessaires avant d'effectuer la conversion. pwconv et grpconv sont similaires. Dans un premier temps, les entrées du fichier de mots de passe cachés (/etc/shadow ou /etc/gshadow) qui n'existent pas dans le fichier principal (passwd ou group), sont retirées. Ensuite, les entrées du fichier shadow n'ayant pas pour mot de passe « x » dans le fichier passwd sont mises à jour. Enfin, les mots de passe du fichier passwd sont remplacés par « x ». Ces programmes peuvent être utilisés pour une première conversion, ou bien pour une mise à jour, si les fichiers principaux [ NdT : non cachés ] ont été édités à la main.Éditer la base de données de groupes.Éditer la base de données passwd.Éditer les bases de données shadow ou gshadow.L'éditeur à utiliser si n'est pas définie.L'éditeur à utiliserActiver la journalisation « syslog » de l'activité de sg.Activer la journalisation « syslog » de l'activité de su - en plus de la journalisation sulog.Activer des vérifications supplémentaires lors des changements de mot de passe.Activer le contrôle et l'affichage du statut de la boîte aux lettres durant la connexion.Activer la vérification des restrictions de temps précisées dans /etc/porttime.Activer l'affichage des noms d'utilisateurs inconnus quand les échecs de connexions sont enregistrés.Activer la journalisation et l'affichage des informations de dernière connexion de /var/log/lastlog.Activer l'enregistrement et l'affichage des informations d'échec de connexion de /var/log/faillogActiver la journalisation des connexions réussies.Activer la mise en place de limites de resources depuis /etc/limits et ulimit, umask et niveau nice depuis les champs gecos de passwd.Activer la mise en place de bits de masque de groupe (« umask group bits ») identiques à ceux du propriétaire (exemple : 022 -> 002, 077 -> 007) pour les utilisateurs non privilégiés, si l'UID est identique au GID et que l'identifiant de connexion est identique au groupe principal.Des erreurs dans les fichiers de mots de passe ou d'informations sur les groupes (comme des entrées invalides ou redondantes) peuvent conduire ces programmes à boucler indéfiniment ou à échouer d'une manière tout aussi étrange. Veuillez exécuter pwck et grpck pour corriger ces erreurs avant de lancer toute conversion.Exemple :  GID_MIN=100  GID_MAX=499À part les options et , les options ne peuvent pas être combinées.Exécute la commande grpck en mode lecture seule. Cela signifie qu'à toutes les questions concernant des modifications il sera répondu no sans l'intervention de l'utilisateur.Permet d'exécuter pwck dans le mode lecture seule.F : taille maximale des fichiers (en kilo octets)FICHIERFICHIERSJournal des échecs de connexion.Formats et conversions de fichiersFichier contenant le port d'accès.Les fichiers présents dans le répertoire personnel de l'utilisateur seront supprimés en même temps que le répertoire lui-même, ainsi que le répertoire d'attente des courriels. Vous devrez rechercher et éliminer vous-même les fichiers situés dans d'autres systèmes de fichiers.Par exemple, L2D2048N5 est une chaîne LISTE_DE_LIMITES valable. Pour faciliter la lecture, les entrées suivantes sont équivalentes :Pour que la commande su soit réussie, l'utilisateur doit entrer son propre mot de passe. Ceci lui est demandé.Forcer le changement du mot de passe si l'utilisateur courant possède un mot de passe qui a expiré.FrançoisGID déjà utilisé (et n'est pas utilisé)GID_MAX GID_MIN MAX_MEMBERS_PER_GROUP SYS_GID_MAX SYS_GID_MINGROUPEGeorgeInformations sur les groupes.Les mots de passe de groupe représentent naturellement un risque en matière de sécurité, puisque plusieurs personnes ont connaissance du mot de passe. Cependant, les groupes sont utiles pour permettre la coopération entre différents utilisateurs.Les noms de groupe sont limités à &GROUP_NAME_MAX_LENGTH; caractères.Les noms de groupe doivent commencer par une lettre minuscule ou un tiret bas (« underscore »), et seuls des lettres minuscules, des chiffres, des « underscore », ou des tirets peuvent suivre. Ils peuvent se terminer par un signe dollar. Soit, sous la forme d'une expression rationnelle : [a-z_][a-z0-9_-]*[$]?HISTORIQUEHaughVoici un script exemple, qui supprime le fichier d'entrée de cron et d'at ainsi que les travaux d'impression en attente ;Astuces pour les mots de passeI : valeur nice maximum (0..39 qui sera traduit en 20..-19)IVSi /etc/subuid existe, les commandes useradd et newusers (sauf si l'utilisateur a déjà des identifiants de groupe subordonnés) allouent identifiants de groupe inutilisés à partir de la plage à pour chaque nouvel utilisateur.Si /etc/subuid existe, les commandes useradd et newusers (sauf si l'utilisateur a déjà des identifiants subordonnés) allouent identifiants inutilisés à partir de la plage à pour chaque nouvel utilisateur.Si n'est pas utilisée, l'environnement est copié sauf pour les variables ci-dessus.Si est utilisée, les autres variables d'environnement peuvent être configurées par le fichier (voir ci-dessous).Si est utilisée, les variables d'environnement $TERM, $COLORTERM, $DISPLAY et $XAUTHORITY sont copiées si elles ont été définies.Si est utilisée, les variables d'environnement $TZ, $HZ et $MAIL sont configurées en accord avec les options , , et de /etc/login.defs (voir ci-dessous).Si est utilisé, l'interpréteur de commandes indiqué par la variable d'environnement $SHELL sera utilisé.Si est réglé sur yes, ces variables servent également à définir la variable d'environnement MAIL.Si > , la valeur la plus élevée sera utilisée.Si vaut yes (« oui ») dans /etc/login.defs, userdel supprimera le groupe ayant le même nom que l'utilisateur. Afin d'éviter des incohérences entre les fichiers passwd et group, userdel vérifiera que le groupe n'est pas utilisé comme groupe primaire d'un autre utilisateur ; si c'est le cas un avertissement sera affiché et le groupe ne sera pas supprimé. L'option permet d'imposer la suppression du groupe.Si yes, le fichier shadow de tcb nouvellement créé appartiendra au groupe auth.Si yes (« oui »), le schéma de mot de passe shadow de tcb5 sera utilisé.La valeur yes indique que le programme chfn nécessitera une authentification avant de procéder à tout changement, à moins qu'ils ne soient exécutés par le superutilisateur.La valeur yes indique que le programme chsh nécessitera une authentification avant de procéder à tout changement, à moins qu'ils ne soient exécutés par le superutilisateur.Si yes (« oui »), l'emplacement du répertoire tcb de l'utilisateur à créer ne sera pas automatiquement configuré à /etc/tcb/user, mais sera calculé en fonction de l'UID de l'utilisateur, à l'aide de l'algorithme suivant : Si yes, l'utilisateur doit faire partie des membres du groupe avec le premier gid 0 dans /etc/group (appelé root sur la plupart des systèmes Linux) pour être capable de su vers des comptes à uid 0. Si ce groupe n'existe pas ou est vide, personne ne pourra su vers un uid 0.Si un chemin complet est spécifié mais que le fichier n'existe pas ou ne peut pas être lu, la valeur par défaut utilisée est TZ=CST6CDT.Si un mot de passe est configuré, les membres peuvent toujours utiliser newgrp1 sans mot de passe. Les non membres doivent fournir le mot de passe.Si définie, liste délimitée par des « : » de fichiers de « message du jour » à afficher lors de la connexion.Si définie, les activités de su seront enregistrées dans le fichier.Si définie, soit un chemin complet du fichier contenant les noms de périphériques (un par ligne), soit une liste de noms du périphérique délimitée par des « : ». Les connexions d'un administrateur ne seront autorisées que depuis ces périphériques.Si définie, fichier qui lie les lignes de tty à la variable d'environnement TERM. Chaque ligne du fichier est dans un format ressemblant à « vt100 tty01 ».Si définie, les échecs de connexion seront enregistrés dans le fichier sous le format utmpSi définie, nom de fichier dont la présence empêchera les connexions de quelqu'un d'autre que le superutilisateur. Le contenu de ces fichiers doit être un message indiquant pourquoi les connexions sont désactivées.Si définie, le nom de la commande à afficher lorsque « su - » est exécutée. Par exemple, si elle est définie à « su » alors un « ps » affichera la commande comme « -su ». Si non définie, alors « ps » affichera le nom du shell qui sera en fait exécuté, par exemple quelque chose comme « -sh ».Si définie, la commande est exécutée lors de la suppression d'un utilisateur. Elle pourra supprimer toutes les tâches périodiques cron ou at, tous les travaux d'impression, etc. de l'utilisateur (qui sera fourni comme premier paramètre).Si définie, le fichier peut désactiver tous les affichages habituels durant la séquence de connexion. Si un nom de chemin complet est spécifié, alors le mode taiseux sera activé si le nom ou l'interpréteur de commandes de l'utilisateur sont trouvés dans le fichier. Si ce n'est pas un nom de chemin complet, alors le mode taiseux sera activé si le fichier existe dans le répertoire personnel de l'utilisateur.Si définie, le fichier sera affiché avant chaque invite de connexion.Si plusieurs lignes avec des limites pour un utilisateur existent, seule la première ligne pour cet utilisateur sera prise en compte.Si aucune ligne n'est précisée pour l'utilisateur, la dernière ligne @groupe correspondant à un groupe auquel l'utilisateur appartient sera prise en compte, ou la dernière ligne avec les limites par défaut si aucun groupe ne contient l'utilisateur.Si aucune de ces options n'est donnée, chage utilise un mode interactif, demandant confirmation à l'utilisateur pour les valeurs de tous les champs. Entrez la nouvelle valeur pour modifier la valeur du champ, ou laissez la ligne vide pour conserver la valeur actuelle. La valeur actuelle est affichée entre crochets.Si aucune option n'est sélectionnée, chfn opère de manière interactive, demandant à l'utilisateur d'entrer les valeurs actuelles de chacun des champs. Entrer une nouvelle valeur pour la modifier, ou de laisser une ligne blanche pour conserver la valeur actuelle. La valeur actuelle est indiquée entre crochets ([ ]). En l'absence d'option, chfn opère sur l'utilisateur actuel.S'il n'est pas défini, root pourra se connecter depuis n'importe quel périphérique.Si non précisé, useradd utilisera la date d'expiration par défaut précisée par la variable dans /etc/default/useradd ou une chaîne vide (pas d'expiration) par défaut.Si non précisé, useradd utilisera la période d'inactivité par défaut précisée par la variable dans /etc/default/useradd, ou -1 par défaut.Si non précisé, le comportement de useradd dépendra de la variable dans /etc/login.defs. Si cette variable est configurée à yes (ou si est précisée sur la ligne de commandes), un groupe sera créé pour l'utilisateur, avec le même nom que son identifiant. Si la variable est configurée à no (ou si est précisé sur la ligne de commandes), useradd configurera le groupe primaire du nouvel utilisateur à la valeur précisée par la variable dans /etc/default/useradd, ou 100 par défaut.Si non précisée, la libc utilisera le nombre de rounds par défaut (5000).Si une seule des variables ou est configurée, alors cette valeur sera utilisée.Si une date de fin de validité du mot de passe a été définie pour ce compte, un nouveau mot de passe pourra vous être demandé. Votre ancien mot de passe et votre nouveau mot de passe vous seront alors demandés avant de pouvoir continuer. Veuillez lire la page de manuel passwd1 pour plus d'informations.Si possible, les ACL et les attributs étendus seront copiés.Si cette variable est configurée à yes, userdel supprimera le groupe de l'utilisateur s'il ne contient pas d'autres membres, et useradd créera par défaut un groupe portant le nom de l'utilisateur.Si elle est configurée à yes, l'utilisateur va se connecter dans le répertoire racine (/) s'il n'est pas possible d'accéder à son répertoire personnel.Si définie, login exécutera cet interpréteur de commandes au lieu de l'interpréteur de l'utilisateur spécifié dans /etc/passwd.Si définie, sera utilisée pour définir la variable d'environnement HZ lorsqu'un utilisateur se connecte. La valeur doit être précédée par HZ=. Une valeur commune sur Linux est HZ=100.Si définie, sera utilisée pour définir la variable d'environnement PATH quand un utilisateur ordinaire se connecte. La valeur est une liste de chemins séparés par des deux points (par exemple /bin:/usr/bin) et peut être précédée par PATH=. La valeur par défaut est PATH=/bin:/usr/bin.Si définie, sera utilisée pour définir la variable d'environnement PATH quand le super-utilisateur se connecte. La valeur est une liste de chemins séparés par deux points (par exemple /sbin:/bin:/usr/sbin:/usr/bin) et peut être précédée par PATH=. La valeur par défaut est PATH=/sbin:/bin:/usr/sbin:/usr/bin.Si définie, sera utilisée pour définir la variable d'environnement TZ quand un utilisateur se connecte. La valeur peut être le nom d'un fuseau horaire précédé par TZ= (par exemple TZ=CST6CDT), ou le chemin complet vers le fichier contenant la spécification du fuseau horaire (par exemple /etc/tzname).Si su doit tuer la commande (parce qu'il a été demandé de terminer et que la commande ne s'est pas terminée à temps), su renvoie 255.Si le fichier /etc/gshadow existe, et que le groupe n'y a pas d'entrée, une nouvelle entrée sera créée.Si le fichier /etc/gshadow existe, l'utilisateur sera retiré de la liste des membres et des administrateurs du groupe.Si l'option est fournie, le contenu du répertoire personnel actuel sera déplacé dans le nouveau répertoire personnel, qui sera créé si nécessaire.Quand l'option n'est pas sélectionnée, chsh opère de façon interactive, demandant à l'utilisateur quel doit être le nouvel interpréteur de commandes initial (« login shell »). L'utilisateur pourra entrer une nouvelle valeur pour modifier l'interpréteur, ou laisser la ligne blanche pour conserver l'interpréteur actuel. L'interpréteur actuel est indiqué entre crochets ([ ]).Si l'UID d'un utilisateur existant est modifié, vous devrez configurer vous-même le propriétaire des fichiers de l'utilisateur.Si ce champ est vide, un nouvel UID (non utilisé) sera défini automatiquement par newusers.Si le nom du groupe existe dans une base de données externe, telle que NIS ou LDAP, groupadd refusera de créer le groupe.Si le répertoire personnel d'un utilisateur existant est modifié, newusers ne déplace ni ne copie le contenu de l'ancien répertoire personnel à la nouvelle place. Vous devrez effectuer cela vous-même.Si l'âge maximum du mot de passe est plus petit que l'âge minimum du mot de passe, l'utilisateur ne pourra pas changer son mot de passe.Si le champ du mot de passe contient une chaîne qui ne peut pas être un résultat valable de crypt3, par exemple si elle contient les caractères ! ou *, alors l'utilisateur ne pourra pas utiliser son mot de passe UNIX pour se connecter (mais il se peut que l'utilisateur puisse se connecter au système par d'autres moyens).Si le champ du mot de passe contient une chaîne qui ne peut pas être un résultat valable de crypt3, par exemple si elle contient les caractères « ! » ou « * », les utilisateurs ne pourront pas utiliser le mot de passe UNIX pour accéder au groupe (mais les membres du groupe n'ont pas besoin de mot de passe).Si la chaîne contient %s, ces caractères seront remplacés par le nom de l'utilisateur.Si l'utilisateur cible possède un interpréteur de commande restreint (par exemple, le champ de l'interpréteur de commande dans /etc/passwd n'est pas renseigné dans /etc/shells), alors, ni l'option ni la variable d'environnement $SHELL ne seront prises en compte à moins que su ne soit appelé par le superutilisateur.Si l'utilisateur cible possède un interpréteur de commandes restreint, cette option n'a aucun effet (à moins que su ne soit appelé par le superutilisateur).Dans le cas où l'utilisateur ne s'est jamais connecté, le message « **Never logged in** » (« **Jamais connecté** ») est affiché à la place des champs Port et date de Dernière connexion.Si l'utilisateur fait actuellement partie d'un groupe qui n'est pas listé, l'utilisateur sera supprimé du groupe. Ce comportement peut être modifié par l'option , qui permet d'ajouter l'utilisateur à la liste actuelle des groupes supplémentaires.S'il y a une entrée pour ce groupe dans /etc/gshadow, alors la liste des membres et le mot de passe de ce groupe seront pris dans ce fichier, sinon, l'entrée du fichier /etc/group est utilisée.Si cette commande s'est terminée par un signal, su y ajoute 128 et renvoie le résultat.Si ce champ contient un nombre, ce nombre sera utilisé comme UID.Si le champ contient le nom d'un groupe qui n'existe pas (et qui n'a pas été créé précédemment par newusers), un nouveau groupe sera créé avec le nom indiqué et un GID sera automatiquement défini par newusers pour être utilisé comme identifiant de groupe primaire pour l'utilisateur et comme identifiant pour le nouveau groupe.Si ce champ contient le nom d'un groupe existant (ou d'un groupe créé précédemment par newusers), le GID de ce groupe sera utilisé comme identifiant de groupe primaire pour l'utilisateur.Si ce champ contient le nom d'un utilisateur existant (ou le nom d'un utilisateur créé précédemment par newusers), l'UID de l'utilisateur indiqué sera utilisé.Si ce champ n'indique pas de répertoire existant, le répertoire indiqué est créé, avec comme propriétaire l'utilisateur en cours de création ou mis à jour et son groupe primaire.Si ce champ est un nombre, ce nombre sera utilisé comme identifiant de groupe primaire de cet utilisateur. Si aucun groupe n'existe avec ce GID, un nouveau groupe sera créé avec ce GID et le nom de l'utilisateur.Si ce champ est vide, un nouveau groupe sera créé avec le nom de l'utilisateur et un GID sera automatiquement défini par newusers pour être utilisé comme identifiant de groupe primaire pour l'utilisateur et comme GID pour le nouveau groupe.Si ce fichier existe et est lisible, l'environnement de connexion sera lu à  partir de lui. Chaque ligne doit être sous la forme nom=valeur.Si cette option n'est pas précisée, le répertoire squelette est défini par la variable dans /etc/default/useradd ou, par défaut, /etc/skel.Si cette option n'est pas précisée, useradd utilisera le répertoire de base précisé par la variable dans /etc/default/useradd ou /home par défaut.Si vous avez un programme write qui est « setgid » à un groupe spécial auquel les terminaux appartiennent, définissez TTYGROUP comme l'identifiant numérique du groupe et TTYPERM à 0620. Autrement laissez TTYGROUP décommenté et TTYPERM configuré soit à 622 soit à 600.Si vous avez besoin de configurer cette limite, vous pouvez utiliser 25.Annuler immédiatement la validité du mot de passe d'un compte. Ceci permet d'obliger un utilisateur à changer son mot de passe lors de sa prochaine connexion.En mode affichage, toujours limitée aux utilisateurs existants, mais l'affichage des entrées d'erreur de connexion est imposé même si elles sont vides.Indiquer si un répertoire personnel doit être créé par défaut pour les nouveaux utilisateurs.Indiquer si la connexion est permise si on ne peut pas accéder au répertoire personnel. Le réglage par défaut est « no ».Indiquer si un mot de passe doit être chiffré en utilisant l'algorithme basé sur MD5. Si configurée à yes, les nouveaux mots de passe seront chiffrés en utilisant l'algorithme basé sur MD5 compatible avec celui utilisé par les versions récentes de FreeBSD. Il gère des mots de passe de longueur illimitée et des chaînes de salage plus longues. Configurez-la à no pour copier les mots de passe chiffrés sur d'autres systèmes qui ne comprennent pas le nouvel algorithme. la valeur par défaut est no.Indiquer que la modification de mot de passe ne sera effectuée que lors de l'expiration des jetons d'authentification (mots de passe). C'est utile dans le cas où l'utilisateur voudrait conserver ses jetons d'authentification encore valables.Indique l'utilisateur dont le fichier shadow de tcb doit être édité.Il peut s'agir du nom d'un nouvel utilisateur ou du nom d'un utilisateur existant (ou d'un utilisateur créé précédemment par newusers). Dans le cas d'un utilisateur existant, les informations de l'utilisateur seront modifiées, sinon un nouvel utilisateur sera créé.Les valeurs suivantes sont acceptées : DES (par défaut), MD5, SHA256, SHA512.Il est également utilisé par login pour définir l'umask initial de l'utilisateur. Veuillez noter que cet umask peut être redéfini par les GECOS de l'utilisateur (si est activé) ou en précisant une limite avec l'identifiant K dans limits5.Il est également utilisé par pam_umask en tant que valeur d'umask par défaut.Ce champ doit être une liste d'utilisateurs, séparés par des virgules.Ce doit être un nom de compte valable, qui existe sur le système.Ce doit être un nom de groupe valable, qui existe sur le système.Julianne FrancesK : masque de création de fichier, défini par umask2.KraftKłoczkoL : nombre maximal de connexions simultanées pour cet utilisateurLOGINS'il y a des trous importants dans les valeurs des UID, lastlog s'exécutera plus lentement, sans affichage à l'écran (par exemple, s'il n'y a pas d'entrée pour les utilisateurs ayant un UID compris entre 170 et 800 dans base de données lastlog, le programme lastlog semblera bloqué comme s'il traitait les entrées correspondant aux UID 171 à 799).Appels de bibliothèqueDe même, pwunconv et grpunconv sont similaires. Les mots de passe des fichiers principaux sont mis à jour à partir des fichiers d'informations cachées (« shadowed file »). Les entrées existant dans un fichier principal, mais pas dans le fichier caché sont laissées. Enfin, le fichier caché est supprimé. Certaines informations d'âge des mots de passe sont perdues par pwunconv. Il ne convertit que ce qu'il peut.Les lignes commençant par un « # » sont considérées comme des commentaires, et sont ignorées.Liste des sessions de connexion en cours.Une liste de groupes à rajouter aux groupes supplémentaires de l'utilisateur lors d'une connexion sur une console (déterminé par le paramètre CONSOLE). Par défaut, aucun groupe n'est ajouté. À utiliser avec précaution : il est possible que les utilisateurs aient un accès permanent à ces groupes, et cela même s'ils ne sont pas connectés sur la console.Liste des sessions de connexion précédentes.Liste des types de terminaux.Liste des interpréteurs de commandes initiaux valables.Afficher la liste des membres du groupe.Verrouiller le mot de passe d'un utilisateur. Cette option ajoute un « ! » devant le mot de passe chiffré, ce qui désactive le mot de passe. Vous ne pouvez pas utiliser cette option avec ou .Verrouiller le compte pendant SEC secondes après un échec de connexion.Verrouiller le mot de passe du compte indiqué. Cette option désactive un mot de passe en le modifiant par une valeur qui ne correspond pas à un mot de passe chiffré possible (cela ajoute un « ! » au début du mot de passe).LucaM : taille maximale de mémoire verrouillée (« locked-in-memory », en kilo octets)MAIL_DIR MAIL_FILE MAX_MEMBERS_PER_GROUP TCB_SYMLINKS USE_TCBMAIL_DIR MAIL_FILE MAX_MEMBERS_PER_GROUP USERDEL_CMD USERGROUPS_ENAB TCB_SYMLINKS USE_TCBMAX_MEMBERS_PER_GROUPMarekMaszkowskiLe temps maximum en secondes pour la connexion.Nombre maximum de membres par entrée de groupe. Lorsque le maximum est atteint, une nouvelle entrée de groupe (ligne) est démarrée dans /etc/group (avec le même nom, même mot de passe, et même GID).Nombre maximum d'essais pour changer de mot de passe si refusé (trop facile).Le nombre maximum de tentatives de connexion en cas de mauvais mot de passe.Les membres peuvent accéder au groupe sans qu'un mot de passe ne leur soit demandé.MichałkiewiczDéplacer le contenu du répertoire personnel de l'utilisateur vers un nouvel emplacement.La plupart des fonctionnalités qui étaient fournies par les mots de passe cachés (« shadow password ») sont désormais gérées par PAM. De ce fait, /etc/login.defs n'est plus utilisé par passwd1 et moins utilisé par login1 et su1. Veuillez plutôt vous référer aux fichiers de configuration de PAM correspondant.N : nombre maximal de fichiers ouvertsNOPASSNOTENOTESNom de l'hôte distant pour cette connexion.NicolasAucun contrôle ne sera effectué sur les valeurs de , , ou du fichier /etc/login.defs.Aucun contrôle ne sera effectué sur les valeurs de , , ou du fichier /etc/login.defs.Aucun contrôle ne sera effectué sur les valeurs de , , , ou du fichier /etc/login.defs.Aucun contrôle ne sera effectué sur les valeurs de , , , ou du fichier /etc/login.defs.Notez que useradd ne créera pas de répertoire personnel pour ces utilisateurs, indépendamment de la configuration par défaut dans /etc/login.defs (). Vous devez préciser l'option si vous voulez qu'un répertoire personnel soit créé pour un compte système.Veuillez noter que l'expiration d'un compte diffère de l'expiration d'un mot de passe. En cas d'expiration d'un compte, l'utilisateur ne sera plus autorisé à se connecter. En cas d'expiration d'un mot de passe, l'utilisateur n'est pas autorisé à se connecter en utilisant son mot de passe.Notez que le comportement par défaut pour l'environnement est le suivant : Veuillez noter que cela ne désactive pas le compte. L'utilisateur peut toujours se connecter en utilisant une autre méthode d'authentification (par exemple une clé SSH). Pour désactiver un compte, les administrateurs devraient utiliser usermod --expiredate 1 (cela définit la date d'expiration du compte au 2 janvier 1970).Notez que ce fichier est utilisé par les outils de la suite d'outils shadow, mais pas par tous les outils de gestion d'utilisateurs et de mot de passes.Veuillez noter que quand est activée, vous ne pouvez pas indiquer de fichier shadow alternatif. Dans les prochaines versions, ce paramètre pourra être remplacé par un répertoire TCB alternatif.Notez qu'il y a trois champs séparés par un « deux-points ». Ne pas accoler d'espace à ce « deux-points ». Notez aussi que le fichier est examiné séquentiellement ligne par ligne, et que la première règle applicable est utilisée sans que le reste du fichier ne soit examiné. Ceci permet à l'administrateur système de définir un contrôle aussi fin qu'il le souhaite.Remarque :  GID_MIN=10,GID_MAX=499 ne fonctionne pas pour l'instant.Remarque : Dans ce cas, username est nécessaire.Remarque : cela n'affecte que la création des mots de passe de groupe. La création de mot de passe des utilisateurs est effectuée par PAM en fonction de la configuration de PAM. Il est recommandé de définir cette variable en cohérence avec la configuration de PAM.Remarque : pour verrouiller le compte (et pas seulement l'accès au compte par un mot de passe), il est également nécessaire de placer DATE_FIN_VALIDITÉ à 1.Remarque : pour déverrouiller le compte (et pas seulement l'accès au compte via un mot de passe), vous devriez définir la valeur DATE_FIN_VALIDITÉ (par exemple à 99999 ou à la valeur dans /etc/default/useradd).Remarque : la journalisation des noms d'utilisateurs inconnus peut être un problème de sécurité si un utilisateur entre son mot de passe au lieu de son nom d'utilisateur.Remarque : les groupes découpés ne sont peut-être pas pris en charge par tous les outils (même dans la suite d'outils Shadow). Vous ne devriez pas utiliser cette variable, sauf si vous en avez vraiment besoin.Remarque : ce paramètre remplace la variable .Notes sur les mots de passe de groupeNombre de caractères significatifs dans le mot de passe pour crypt(). La valeur par défaut de est 8. Ne la changez pas à moins que votre crypt() ne soit meilleur. Ceci est ignoré si est configurée à yes.O : priorité temps réel maximaleOPTIONSOWNPASSSur certains systèmes, la variable d'environnement $TERM sera initialisée au type de terminal de votre tty, comme spécifié dans /etc/ttytype.En cas de succès, su renvoie la valeur de sortie de la commande qu'il a exécutée.Seules les entrées pour les utilisateurs actuels du système seront affichées. D'autres entrées peuvent exister pour les utilisateurs supprimés précédemment.Seul le superutilisateur, en tant qu'administrateur, peut utiliser groupmems pour modifier la liste des membres d'un autre groupe.D'autres environnements peuvent être configurés par des modules PAM.Overrides /etc/login.defs defaults (, , , and others). Example:  PASS_MAX_DAYS=-1 peut être utilisé pour la création de comptes système pour désactiver la gestion de la durée de validité des mots de passe, même si les comptes système n'ont pas de mot de passe. Plusieurs options peuvent être précisées, comme par exemple :  UID_MIN=100  UID_MAX=499Surcharger les valeurs par défaut du fichier /etc/login.defs (GID_MIN, GID_MAX et autres). L'option peut être indiquée plusieurs fois.P : priorité des processus, défini par setpriority2.Configuration de PAM pour chpasswd.Configuration de PAM pour newusers.Configuration de PAM pour passwd.PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE TCB_AUTH_GROUP TCB_SYMLINKS USE_TCBPASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE USE_TCBLes valeurs des paramètres sont de quatre types : chaînes de caractères, booléens, nombres et nombres longs. Une chaîne de caractères est constituée de n'importe quels caractères imprimables. Un booléen est soit yes (oui), soit no (non). Un paramètre booléen non défini, ou défini avec une valeur autre que celles-là prendra la valeur no. Un nombre (normal ou long) peut être soit décimal, soit octal (en précédant la valeur d'un 0), ou encore hexadécimal (en précédant la valeur de 0x). La valeur maximale des paramètres numériques normaux ou longs dépend de la machine.Une valeur de -1 pour JOURS_MAX supprime la vérification de validité.Une valeur de -1 pour DATE_FIN_VALIDITÉ aura pour effet de supprimer la date de fin de validité.Une valeur de -1 pour DURÉE_INACTIVITÉ supprime la durée d'inactivité pour un compte.Modifications du mot de passeLa vérification de la complexité des mots de passe peut varier d'un site à l'autre. Il est vivement conseillé aux utilisateurs de choisir un mot de passe aussi complexe que possible dans la limite de ce qu'il est capable de mémoriser. Identifiants de groupe subordonnés par utilisateur.Identifiants subordonnés par utilisateur.Exécuter le protocole de connexion automatique (autologin) pour rlogin.Préserver l'environnement.Préserver l'environnement actuel, sauf pour : Empêcher les utilisateurs non-root de se connecter.N'afficher que les entrées du fichier lastlog plus anciennes que JOURS.N'afficher que les entrées correspondant aux utilisateurs indiqués.Afficher les entrées du fichier lastlog plus récentes que JOURS.Fournir à l'utilisateur un environnement similaire à celui qu'il aurait obtenu s'il s'était connecté directement.Supprimer tous les utilisateurs de la liste des membres du groupe.Mode silencieux.R : taille maximale de la mémoire résidente (« resident set size », en kilo octets)RafalPlage d'identifiants numériques de groupes que les commandes useradd, groupadd ou newusers peuvent utiliser pour la création des groupes normaux.Plage d'identifiants numériques de groupes que les commandes useradd, groupadd ou newusers peuvent utiliser pour la création de groupes système.Plage d'identifiants numériques d'utilisateurs que les commandes useradd ou newusers peuvent utiliser pour la création d'utilisateurs normaux.Plage d'identifiants numériques d'utilisateurs que les commandes useradd ou newusers peuvent utiliser pour la création d'utilisateurs système.Consultez crypt3 pour plus d'informations sur le traitement de cette chaîne.Pensez à configurer les permissions ou umask afin d'empêcher la lecture des fichiers non chiffrés par les autres utilisateurs.Retirer une plage d'identifiants de groupe subordonnés d'un compte utilisateur.Retirer une plage d'identifiants subordonnés d'un compte utilisateur.Élimine toute association avec tout utilisateur SELinux pour la connexion de l'utilisateur.Enlever l'utilisateur de ce groupe.Enlever le mot de passe pour ce groupe. Le mot de passe du groupe sera vide. Seuls les membres du groupe seront autorisés à utiliser newgrp pour rejoindre ce groupe.Ne signaler que les erreurs. Les avertissements qui ne nécessitent pas une action de la part de l'utilisateur ne seront pas affichés.Remettre à zéro le compteur d'échecs de connexion.Restreindre l'accès à ce groupe. Le mot de passe du groupe est défini à « ! ». Seuls les membres du groupe seront autorisés à utiliser newgrp pour rejoindre ce groupe.Les fonctions renvoient NULL si plus aucune entrée n'est disponible ou si une erreur est survenue lors du traitement. Les fonctions dont la valeur de retour est un int renvoient 0 en cas de succès et -1 en cas d'échec.S : taille maximale de la pile (en kilo octets)VOIR AUSSICONFIGURATIONSHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDSSYNTAXSYSLOG_SG_ENABInformations sécurisées sur les groupes.Informations sécurisées sur les comptes utilisateurs.Voir aussi aussi la description des options et .Voir aussi aussi l'option et la description de .Consultez ci-dessous la sous-section « Modifier les valeurs par défaut ».Sélectionner une valeur MAX de 0 a pour effet de ne placer aucune limite sur le nombre d'échecs de connexion.Configurer la date, ou le nombre de jours à compter du 1er janvier 1970, à partir de laquelle le compte de l'utilisateur ne sera plus accessible. La date peut aussi être exprimée dans le format AAAA-MM-JJ (ou le format plus communément utilisé dans votre région). Un utilisateur dont le compte est bloqué doit contacter l'administrateur système pour pouvoir utiliser à nouveau le système.Configurer la liste des administrateurs.Configurer la liste des membres du groupe.Configurer le nombre maximum de jours pendant lesquels un mot de passe reste valable. Après JOURS_MAX, le mot de passe devra être modifié.Configurer le nombre maximum de jours pendant lesquels un mot de passe est valable. Quand JOURS_MAX plus DERNIER_JOUR est inférieur à la date actuelle, l'utilisateur est obligé de changer son mot de passe avant de pouvoir utiliser son compte. Cet événement peut être déclenché plus tôt grâce à l'option qui prévient l'utilisateur à l'avance par un message d'alerte.Configurer le nombre maximum d'échecs de connexion après lequel le compte sera désactivé à MAX.Définir le nombre minimum de jours entre chaque changement de mot de passe à MIN_DAYS. Une valeur de zéro pour ce champ indique que l'utilisateur peut changer son mot de passe quand il le souhaite.Configurer le nombre de jours d'inactivité, après qu'un mot de passe ait dépassé la date de fin de validité, avant que le compte ne soit bloqué. La valeur DURÉE_INACTIVITÉ est le nombre de jours d'inactivité. Un utilisateur dont le compte est bloqué doit contacter l'administrateur système avant de pouvoir utiliser de nouveau le système.Configurer le nombre de jours d'avertissement avant que le changement de mot de passe ne soit obligatoire. La valeur DURÉE_AVERTISSEMENT est le nombre de jours précédant la fin de validité pendant lesquels un utilisateur sera prévenu que son mot de passe est sur le point d'arriver en fin de validité.Configurer le nombre de jours d'avertissement avant que le changement de mot de passe ne soit obligatoire. La valeur DURÉE_AVERTISSEMENT est le nombre de jours précédant la fin de validité pendant lesquels un utilisateur sera prévenu que son mot de passe est sur le point d'arriver en fin de validité.Configurer le nombre du jour, à compter du 1er janvier 1970, où le mot de passe a été changé la dernière fois. La date peut aussi être exprimée dans le format AAAA-MM-JJ (ou le format utilisé plus communément dans votre région).Configuration de la suite des mots de passe cachés « shadow password ».Afficher les informations sur l'âge des comptes.De la même façon, si le nom de l'utilisateur existe dans une base de données externe, telle que NIS ou LDAP, useradd refusera de créer le compte d'utilisateur.Certaines valeurs de retour de su sont indépendantes de la commande exécutée : Trie les entrées de /etc/group et /etc/gshadow par GID.Trie les entrées de /etc/passwd et /etc/shadow par UID.Indiquer une commande qui sera invoquée par l'interpréteur de commandes en utilisant son option Indiquer que les mots de passe fournis sont chiffrés.Supprimer l'affichage des messages du système.Commandes de gestion du systèmeLes administrateurs système peuvent utiliser l'option pour définir un ou des administrateurs de groupe et l'option pour définir les membres. Ils ont tous les droits des administrateurs et membres du groupe.Fichier contenant le message du système.Échec système ou d'authentificationLes utilisateurs système seront créés sans information d'expiration dans /etc/shadow, et leur identifiant numérique est choisi dans l'intervalle -, défini dans /etc/login.defs, au lieu de - (et leurs équivalents pour la création des groupes).Les utilisateurs système seront créés sans information d'âge dans /etc/shadow et leurs identifiants numériques sont choisis dans l'intervalle -, défini dans login.defs, au lieu de - (et leur correspondant pour la création de groupes).Sur les systèmes qui ne gèrent pas l'appartenance à plusieurs groupes, seules les informations contenues dans /etc/group sont affichées. L'utilisateur doit utiliser newgrp ou sg pour modifier l'identifiant de groupe réel et effectif.T : temps processeur maximal consommé (en minutes)Le caractère ERASE du terminal (010 = backspace, 0177 = DEL).Le caractère KILL du terminal (025 = CTRL/U).La commande chage modifie le nombre de jours entre les changements de mot de passe et la date du dernier changement. Ces informations sont utilisées par le système pour déterminer si un utilisateur doit changer son mot de passe.La commande chage retourne les valeurs suivantes en quittant : La commande chage est réservée à l'utilisateur root, sauf pour l'option , qui peut être utilisée par un utilisateur non privilégié pour lui permettre de savoir quand son mot de passe ou son compte arrivera en fin de validité.Le programme chage nécessite l'utilisation d'un fichier de mots de passe cachés (« shadow password file »).La commande chfn modifie le nom complet d'un utilisateur, son numéro de bureau, son numéro de téléphone professionnel, son extension, et son numéro de téléphone personnel. Ces informations sont généralement affichées par finger1 ou d'autres programmes similaires. Un utilisateur normal ne peut modifier que les informations associées à son propre compte, avec les restrictions précisées dans /etc/login.defs. (Par défaut, les utilisateurs ne peuvent pas modifier leur nom complet). Le superutilisateur peut modifier n'importe quel champ pour n'importe quel compte. De plus, seul le superutilisateur peut utiliser l'option pour modifier les parties non précisées du champ GECOS.La commande chgpasswd lit une liste de paires de noms de groupes et de mots de passe depuis l'entrée standard et utilise ces informations pour mettre à jour un ensemble de groupes existants. Chaque ligne est au format suivant :La commande chpasswd lit une liste de paires de noms d'utilisateurs et de mots de passe depuis l'entrée standard et utilise ces informations pour mettre à jour un groupe d'utilisateurs existants. Chaque ligne est au format suivant :La commande chsh modifie l'interpréteur de commandes initial (« login shell ») de l'utilisateur qui sera invoqué lors des connexions de l'utilisateur. Un utilisateur normal ne peut changer que l'interpréteur associé à son propre compte. Le superutilisateur peut changer l'interpréteur de commandes initial de n'importe quel compte.Avec l'option , expiry vérifie la validité du mot de passe de l'utilisateur actuel, et force (avec l'option ) des modifications si nécessaire. Il peut être appelé par un utilisateur normal.La commande gpasswd est utilisée pour administrer /etc/group et /etc/gshadow. Chaque groupe peut avoir des administrateurs, des membres et un mot de passe.La commande groupadd crée un nouveau compte de groupe en utilisant les valeurs spécifiées sur la ligne de commande et les valeurs par défaut du système. Le nouveau groupe sera inséré dans les fichiers du système selon les besoins.La commande groupadd retourne les valeurs suivantes en quittant : La commande groupdel renvoie les valeurs suivantes en quittant : La commande groupdel modifie les fichiers d'administration des comptes du système, en supprimant les entrées qui se réfèrent à groupe. Le groupe indiqué doit exister.La commande groupmems permet à un utilisateur d'administrer la liste des membres de son propre groupe sans avoir les privilèges du superutilisateur. L'utilitaire groupmems a été conçu pour les systèmes qui configurent leurs utilisateurs de telle sorte qu'ils soient responsables de leur groupe primaire (par exemple guest/guest).L'exécutable groupmems doit être installé en mode 2770 avec pour utilisateur root et pour groupe groups. L'administrateur système peut ajouter des utilisateurs au groupe groups pour leur permettre ou leur interdire d'utiliser groupmems pour gérer leur propre liste de membres du groupe.La commande groupmod retourne les valeurs suivantes en quittant : La commande groupmod modifie la définition du GROUPE spécifié en modifiant l'entrée correspondante de la base de données des groupes.La commande groups affiche la liste des noms de groupe (ou leur identifiant numérique) de l'utilisateur courant. Si une valeur n'a pas d'entrée correspondante dans /etc/group, l'identifiant numérique du groupe est affiché. Le paramètre optionnel utilisateur permet d'afficher la liste des groupes pour cet utilisateur.La commande grpck renvoie les valeurs suivantes en quittant : La commande grpck vérifie l'intégrité des informations sur les groupes du système. Toutes les entrées de /etc/group et /etc/gshadow sont vérifiées afin de s'assurer qu'elles ont le bon format et qu'elles contiennent des données valables dans chaque champ. Une confirmation de l'utilisateur sera demandée pour détruire les entrées mal formatées ou ayant d'autres erreurs non récupérables.La commande grpconv crée gshadow à partir de group et d'un éventuel fichier gshadow.La commande grpunconv crée group à partir des fichiers group et gshadow puis supprime gshadow.Le programme login n'est PAS responsable de la suppression d'utilisateurs dans le fichier utmp. Les responsables du nettoyage de l'appartenance des sessions de terminal sont getty8 et init8. Si vous utilisez login depuis un interpréteur de commandes sans exec, l'utilisateur que vous utilisez continuera à apparaître comme étant connecté même après s'être déconnecté de cette « sous-session ».Le programme login permet d'établir une nouvelle session sur le système. Il est généralement invoqué après avoir répondu à l'invite de connexion login: sur le terminal de l'utilisateur. login peut être spécifique à l'interpréteur de commandes et ne devrait pas être invoqué comme un sous-processus. Lorsqu'il est appelé depuis un interpréteur de commande, login doit être exécuté comme >exec login, ce qui entraîne la sortie de l'interpréteur de commandes en cours (et ainsi empêche le nouvel utilisateur connecté de retourner à la session de l'appelant). L'exécution de login depuis un interpréteur de commandes autre qu'un interpréteur de commandes initial (« login shell ») produira un message d'erreur.La commande newgrp permet de changer l'identifiant de groupe de l'utilisateur au cours d'une session. Si l'option est fournie, l'environnement de l'utilisateur est réinitialisé, comme si l'utilisateur venait de se connecter. Sinon, l'environnement actuel, y compris le répertoire de travail actuel est conservé.La commande newusers lit un fichier (ou l'entrée standard par défaut) et utilise ces informations pour mettre à jour un groupe d'utilisateurs existants ou pour créer de nouveaux utilisateurs. Chaque ligne est au même format que le fichier des mots de passe (consultez passwd5) avec les exceptions suivantes :La commande nologin est apparue avec BSD 4.4.La commande nologin affiche un message indiquant que le compte n'est pas disponible et retourne avec un code non nul. Elle peut être placée dans le champ indiquant l'interpréteur de commandes pour les comptes qui ont été désactivés.La commande passwd modifie les mots de passe des comptes d'utilisateurs. Un utilisateur normal ne peut changer que son propre mot de passe, alors que le superutilisateur peut changer le mot de passe associé à n'importe quel compte. passwd modifie également les dates de fin de validité du compte ou du mot de passe associé.La commande passwd retourne les valeurs suivantes en quittant : La commande pwck retourne les valeurs suivantes en quittant : La commande pwck vérifie l'intégrité des informations du système concernant les utilisateurs et leur mots de passe. Toutes les entrées des fichiers /etc/passwd et /etc/shadow sont vérifiées afin de s'assurer qu'elles ont le bon format et qu'elles contiennent des données valables dans chaque champ. Une confirmation de l'utilisateur sera demandée pour détruire les entrées mal formatées ou ayant d'autres erreurs non récupérables.La commande pwconv crée le fichier shadow à partir du fichier passwd et d'un éventuel fichier shadow.La commande pwunconv crée le fichier passwd à partir des fichiers passwd et shadow puis supprime shadow.La commande sg fonctionne de la même manière que newgrp, mais prend une commande comme paramètre. Cette commande sera exécutée avec un interpréteur de commandes /bin/sh. Avec la plupart des interpréteurs de commandes permettant d'exécuter sg, si la commande comporte plusieurs mots, il faut la placer entre des guillemets (« " »). Une autre différence entre newgrp et sg est que certains interpréteurs de commandes traitent newgrp de façon particulière, en se remplaçant eux-mêmes par une nouvelle instance d'un interpréteur que newgrp crée. Ceci n'est pas le cas de sg, ce qui permet de retrouver le groupe précédent à la sortie de sg.La commande su permet de devenir un autre utilisateur pour la durée d'une session. Invoqué sans nom d', le comportement par défaut de suest de devenir superutilisateur. Le paramètre optionnel permet d'obtenir un environnement similaire à celui que l'utilisateur aurait obtenu lors d'une connexion directe.La commande useradd retourne les valeurs suivantes en quittant : La commande userdel retourne les valeurs suivantes en quittant : La commande userdel modifie les fichiers d'administration des comptes du système, en supprimant les entrées qui se réfèrent à LOGIN. L'utilisateur nommé doit exister.La commande usermod modifie les fichiers d'administration des comptes du système selon les modifications qui ont été indiquées sur la ligne de commande.vipw et vigr permettent de modifier les fichiers /etc/passwd et /etc/group, respectivement. Avec l'option , ils permettent d'éditer les versions cachées de ces fichiers : /etc/shadow et /etc/gshadow, respectivement. Ces programmes placent les verrous nécessaires afin d'éviter toute corruption des fichiers. L'éditeur utilisé est choisi d'abord en fonction de la variable d'environnement $VISUAL, puis de la variable d'environnement $EDITOR. À défaut, l'éditeur, vi1 est utilisé quand ces variables ne sont pas définies.Le fichier limits (/etc/limits par défaut ou LIMITS_FILE définit dans config.h) décrit les limites de ressource que vous voulez imposer. Il doit être possédé et ne doit être lisible que par le compte root.Le fichier login.access permet de spécifier des paires (utilisateur, hôte) et/ou (utilisateur, tty) pour lesquelles toute connexion sera soit acceptée soit refusée.L'opérateur EXCEPT permet d'écrire des règles très compactes.Où LISTE_DE_LIMITES est une chaîne construite par la concaténation d'une liste de limites de ressource. Chaque limite consiste en une lettre (identifiant le type de limite) et une valeur numérique.Les fonctions lckpwdf et ulckpwdf doivent être utilisées pour garantir un accès exclusif au fichier /etc/shadow. Lckpwdf essaie de placer un verrou avec pw_lock pendant 15 secondes. Il essaie ensuite de placer un second verrou en utilisant spw_lock pendant le reste de ces 15 secondes. Si un de ces verrous ne peut être placé, lckpwdf renvoie -1. Quand les deux verrous peuvent être placés, la valeur 0 est renvoyée.Les variables d'environnement $HOME, $SHELL, $USER, $LOGNAME, $PATH et $IFS sont réinitialisées.La variable d'environnement HZ est uniquement définie quand l'utilisateur (le super-utilisateur) se connecte avec sulogin.Le fichier /etc/login.defs définit la configuration de la suite shadow password (mots de passe cachés) pour le système. Ce fichier est indispensable. Son absence n'empêchera pas le système de fonctionner, mais aura probablement des conséquences indésirables.Le fichier lastlog est une base de données qui contient des informations concernant la dernière connexion de chaque utilisateur. Vous n'avez pas à faire de rotation (avec logrotate) sur ce fichier. C'est un fichier « creux », donc sa taille sur le disque est bien plus petite que celle affichée par « ls -l » (qui peut indiquer un très gros fichier si vous avez des utilisateurs avec des UID élevés). Vous pouvez afficher sa taille réelle avec « ls -s ».Les options et ne peuvent pas être combinées.Les options , et ne peuvent être utilisées que par root.Les paramètres et sont utilisés par useradd, usermod et userdel pour créer, déplacer ou supprimer les boîtes aux lettres des utilisateurs.L'utilisateur SELinux utilisé pour la connexion de l'utilisateur. Le comportement par défaut est de laisser ce champ vide. Le système sélectionnera alors l'utilisateur SELinux par défaut.La tentative est automatiquement réussie. Aucun mot de passe n'est demandé.La tentative de changement d'utilisateur est arrêtée avant que le mot de passe ne soit demandé.Les méthodes disponibles sont DES, MD5, NONE et SHA256 ou SHA512 si votre libc prend en charge ces méthodes.Les méthodes disponibles sont DES, MD5 et NONE.Une erreur dans le nombre de champs ou la non unicité d'un nom de groupe sera fatale. Si le nombre de champs n'est pas correct, il sera demandé à l'utilisateur de supprimer la ligne. Si l'utilisateur ne répond pas par l'affirmative, les vérifications suivantes ne seront pas effectuées. Il sera également demandé de supprimer les entrées correspondant aux noms de groupe redondants, mais dans ce cas, les autres vérifications seront effectuées. Toutes les autres erreurs ne sont que des avertissements et l'utilisateur est encouragé à utiliser groupmod pour les corriger.Une erreur dans le nombre de champs ou la non unicité d'un nom d'utilisateur sera fatale. Si le nombre de champs n'est pas correct, il sera demandé à l'utilisateur de supprimer la ligne. Si l'utilisateur ne répond pas par l'affirmative, les vérifications suivantes ne seront pas effectuées. Il sera également demandé de supprimer les entrées correspondant aux noms d'utilisateur redondants, mais dans ce cas, les autres vérifications seront effectuées. Toutes les autres erreurs ne sont que des avertissements et l'utilisateur est encouragé à utiliser usermod pour les corriger.Le champ de l'interpréteur de commandes correspond au nom de l'interpréteur de commandes de l'utilisateur, ou au nom d'un programme initial à exécuter. login utilise cette information pour définir la valeur de la variable d'environnement $SHELL. Si ce champ est vide, /bin/sh est utilisé par défaut.Les commandes qui opèrent sur le fichier les fichiers /etc/group et /etc/gshadow ne peuvent pas modifier les entrées corrompues ou redondantes. grpck doit être utilisée dans ce cas pour supprimer ces entrées.Les commandes qui opèrent sur le fichier /etc/passwd ne peuvent pas modifier les entrées corrompues ou redondantes. pwck doit être utilisé dans ce cas pour retirer ces entrées.Le champ de commentaire est utilisé par différents utilitaires système, tels que finger1.L'environnement actuel est fourni au nouvel interpréteur de commandes. La valeur de $PATH est réinitialisée à /bin:/usr/bin pour les utilisateurs normaux, ou à /sbin:/bin:/usr/sbin:/usr/bin pour le superutilisateur. Ce comportement peut être modifié avec les paramètres ENV_PATH et ENV_SUPATH dans /etc/login.defs. La date d'expiration du compte, exprimé en nombre de jours depuis le 1er janvier 1970.La date du dernier changement de mot de passe, exprimée en nombre de jours depuis le 1er janvier 1970.Date à laquelle le compte utilisateur sera désactivé.Date à laquelle le compte utilisateur sera désactivé. La date est indiquée dans le format AAAA-MM-JJ.Répertoire de base par défaut du système si l'option  RÉP_PERSO n'est pas spécifiée. RÉP_BASE est concaténé avec le nom du compte pour définir le répertoire personnel. Quand l'option n'est pas utilisée, RÉP_BASE doit exister.Le comportement par défaut (si les options , , et ne sont pas précisées) est défini par la variable dans /etc/login.defs.L'algorithme de chiffrement par défaut peut être défini pour le système à l'aide des variables ou de /etc/login.defs, et peut être surchargé par les options , ou L'algorithme de chiffrement peut être défini pour le système avec la variable de /etc/login.defs et peut être surchargé avec les options , ou .L'entrée par défaut est représentée par un utilisateur dénommé « * ». Si plusieurs entrées par défaut sont présentes dans le fichier de limites, alors seule la dernière sera prise en compte.La valeur par défaut pour (respectivement ) est 1000 (respectivement 60000).La valeur par défaut pour (respectivement ) est 101 (respectivement -1).La valeur par défaut pour (respectivement ) est 101 (respectivement -1).La valeur par défaut de (respectivement ) est 1000 (respectivement 60000).La valeur par défaut est 0, ce qui signifie qu'il n'y a pas de limites pour le nombre de membres dans un groupe.Les valeurs par défaut pour , et sont respectivement 100000, 600100000 and 10000.Les valeurs par défaut pour , et sont respectivement 100000, 600100000 and 10000.Le périphérique doit être précisé sans le préfixe /dev/.Le champ du mot de passe chiffré peut être vide. Dans ce cas, aucun mot de passe n'est nécessaire pour s'authentifier avec le compte donné. Cependant, certaines applications qui lisent le fichier /etc/passwd peuvent décider de ne donner aucun accès si le mot de passe est vide. Si le mot de passe est un x minuscule, alors le mot de passe chiffré se trouve dans le fichier shadow5 ; il doit y avoir une ligne correspondante dans le fichier shadow, sinon le compte de l'utilisateur n'est pas valide. Si le mot de passe est constitué d'une autre chaîne, alors il est considéré comme un mot de passe chiffré, comme indiqué dans crypt3.Mot de passe chiffré, comme renvoyé par crypt3.Le mot de passe chiffré, comme renvoyé par crypt3. Le comportement par défaut est de désactiver le mot de passe.La commande exécutée n'aura aucun terminal de contrôle. Cette option ne peut pas être utilisée pour exécuter des programmes interactifs qui ont besoin d'un terminal de contrôle.Le fichier /etc/suauth est lu chaque fois que su est exécuté. Il permet de modifier le comportement de la commande su, en fonction de :Le fichier contient un nombre constant d'enregistrements, triés par identifiant d'utilisateur numérique. Chaque enregistrement contient le nombre d'échecs de connexion depuis la dernière connexion réussie, le nombre maximum d'échecs de connexion avant désactivation du compte, la ligne sur laquelle a eu lieu le dernier échec de connexion, la date du dernier échec de connexion et la durée (en seconde) pendant laquelle le compte sera verrouillé après un échec.Le fichier est formaté de la façon suivante (les lignes commençant par un « # » sont des commentaires, et sont ignorées) :Valeur d'initialisation du masque de permissions. S'il n'est pas précisé, le masque des permissions sera initialisé à 022.Le premier champ est soit un « + » (accès autorisé), soit un « - » (accès refusé). Le second champ est une liste d'un ou plusieurs noms d'utilisateurs ou de groupes, ou ALL (correspond à tous les utilisateurs). Le troisième champ est une liste d'un ou plusieurs noms de tty (pour les connexions hors réseau), noms d'hôtes, noms de domaines (commençant par un « . »), adresses d'hôte, adresses de sous-réseau (terminant par un « . »), ALL (pour spécifier n'importe quelle connexion), ou LOCAL (correspond à n'importe quelle chaîne ne contenant pas de « . »). Si vous utilisez NIS, vous pouvez utiliser @nomdegroupe pour les motifs d'utilisateur et d'hôte.Les paramètres de configuration suivants sont fournis :La variable de configuration suivante dans /etc/login.defs change le comportement de grpconv et grpunconv :Les variables de configuration suivantes dans /etc/login.defs changent le comportement de pwconv :Les variables de configuration suivantes dans /etc/login.defs modifient le comportement de cet outil :Les références croisées ci-dessous montrent quels sont les paramètres utilisés par les différents programmes de la suite shadow password.L'entrée suivante autorise l'accès à /dev/console uniquement aux utilisateurs root et oper à n'importe quelle heure. Ceci permet de montrer l'importance de l'ordre des entrées dans le fichier /etc/porttime. Les autres utilisateurs ne satisferont que la deuxième entrée, qui n'autorise aucun accès.L'entrée suivante autorise l'accès à tous les ports pour l'utilisateur games, en dehors des heures de travail.L'entrée suivante autorise l'accès à l'utilisateur jfh sur n'importe quel port pendant la semaine de 9 heures à 17 heures.L'identifiant numérique du groupe GROUPE sera modifié vers GID.Le fichier d'informations sur les groupes (/etc/group) n'est utilisé que lorsqu'un nom ne correspond à aucun des utilisateurs connectés. Seuls les groupes pour lesquels la liste des utilisateurs est spécifiée sont utilisés : le programme ne recherche pas parmi les groupes primaires des utilisateurs.Le nom ou l'identifiant du groupe pour le groupe principal d'un nouvel utilisateur (quand l'option est utilisée ou quand la variable est configurée à no dans /etc/login.defs). Le nom du groupe doit exister, et un identifiant de groupe numérique doit avoir une entrée existante.Nom du groupe ou identifiant numérique du groupe de connexion initial de l'utilisateur. Le nom du groupe doit exister. Un numéro de groupe doit se référer à un groupe déjà existant.Nom du groupe ou identifiant numérique du groupe de connexion initial de l'utilisateur. Le groupe doit exister.Le groupe propriétaire des fichiers en dehors du répertoire personnel de l'utilisateur doit être modifié manuellement.Le champ du répertoire personnel de l'utilisateur correspond au nom du répertoire de travail initial. login utilise cette information pour définir la valeur de la variable d'environnement $HOME.Le fichier d'entrée doit être correctement protégé puisqu'il contient des mots de passe en clair.L'interpréteur de commandes à appeler est choisi parmi (le choix de plus haute priorité en tête) : Les limites précisées sous la forme « @groupe » s'appliquent aux membres du groupe précisé.L'emplacement des fichiers peut varier suivant la configuration du système.Répertoire d'attente des courriels (« mail spool directory »). Ce paramètre est nécessaire pour manipuler les boîtes à lettres lorsque le compte d'un utilisateur est modifié ou supprimé. S'il n'est pas spécifié, une valeur par défaut définie à la compilation est utilisée.Le répertoire d'attente des courriels est défini par la variable dans login.defs.Le compteur d'erreurs maximum doit toujours être 0 pour root afin d'éviter les attaques de type déni de service sur le système.Nombre maximum de jours de validité d'un mot de passe. Après cette durée, une modification du mot de passe est obligatoire. S'il n'est pas précisé, la valeur de -1 est utilisée (ce qui enlève toute restriction).L'âge maximum du mot de passe est la durée (en jour) après laquelle l'utilisateur devra changer son mot de passe.La signification de chaque champ est la suivante :Nombre minimum de jours autorisé avant la modification d'un mot de passe. Toute tentative de modification du mot de passe avant cette durée est rejetée. S'il n'est pas précisé, la valeur de -1 est utilisée (ce qui enlève toute restriction).L'âge minimum du mot de passe est la durée (en jour) que l'utilisateur devra attendre avant de pouvoir le changer de nouveau.Le nom de l'interpréteur de commandes du nouvel utilisateur.Le nom du groupe sera modifié de GROUPE vers NOUVEAU_NOM_GROUPE.Le nom de l'utilisateur passera de LOGIN à NOUVEAU_LOGIN. Rien d'autre ne sera modifié. En particulier, le nom du répertoire personnel et l'emplacement de la boîte aux lettres de l'utilisateur devrontprobablement être changés pour refléter le nouveau nom de connexion.Le nom de l'interpréteur de commandes initial de l'utilisateur (« login shell »). Le comportement par défaut est de laisser ce champ vide. Le système sélectionnera alors l'interpréteur par défaut indiqué par la variable dans /etc/default/useradd, ou une chaîne vide par défaut.Nom du nouvel interpréteur de commandes initial (« login shell ») de l'utilisateur. Si ce champ est vide, le système sélectionnera l'interpréteur de commandes initial par défaut.Le nouvel utilisateur SELinux utilisé pour la connexion de l'utilisateur.La valeur numérique de l'identifiant de l'utilisateur.Le nouvel utilisateur sera créé en utilisant RÉP_PERSO comme valeur de répertoire de connexion de l'utilisateur. Le comportement par défaut est de concaténer UTILISATEUR au répertoire RÉP_BASE, et de l'utiliser en tant que nom de répertoire de connexion. Il n'est pas nécessaire que le répertoire RÉP_PERSO existe mais il ne sera pas créé s'il n'existe pas.La nouvelle valeur du champ de commentaire du fichier de mots de passe pour l'utilisateur. Il est normalement modifié en utilisant l'utilitaire chfn1.Nombre de jours suivant la fin de validité d'un mot de passe après lequel le compte est définitivement désactivé.Nombre de jours suivant la fin de validité d'un mot de passe après lequel le compte est définitivement désactivé. Une valeur de 0 désactive le compte dès que le mot de passe a dépassé sa fin de validité, et une valeur de -1 désactive cette fonctionnalité.La durée (en jour) pendant laquelle le mot de passe sera quand même accepté après son expiration (voir l'âge maximum du mot de passe ci-dessus). L'utilisateur devra mettre à jour son mot de passe à la prochaine connexion.Nombre de jours après la fin de validité d'un mot de passe avant que le compte ne soit désactivé.La durée (en jour) pendant laquelle l'utilisateur sera averti avant que le mot de passe n'expire (voir l'âge maximum du mot de passe ci-dessus).Nombre de jours durant lesquels l'utilisateur recevra un avertissement avant que son mot de passe n'arrive en fin de validité. Une valeur négative signifie qu'aucun avertissement n'est donné. S'il n'est pas précisé, aucun avertissement n'est donné.Les identifiants numériques des nouveaux groupes systèmes sont choisis dans l'intervalle -, défini dans login.defs, au lieu de -La valeur numérique de l'identifiant du groupe (« group ID » ou GID). Cette valeur doit être unique, sauf si l'option est utilisée. La valeur ne doit pas être négative. Par défaut, le plus petit identifiant supérieur au et aux identifiants des groupes existants est utilisé.La valeur numérique de l'identifiant de l'utilisateur. Cette valeur doit être unique, sauf si l'option est utilisée. La valeur ne doit pas être négative. Le comportement par défaut est d'utiliser la plus petite valeur d'identifiant à la fois supérieure ou égale à et supérieure aux identifiants de tous les autres utilisateurs.La seule restriction placée sur l'interpréteur de commandes initial (« login shell ») est que cette commande doit faire partie de /etc/shells, à moins qu'elle ne soit invoquée par le superutilisateur, qui peut ajouter n'importe quelle valeur. Un compte avec un interpréteur de commandes initial restreint ne peut pas changer son interpréteur. Pour cette raison, il est déconseillé de placer /bin/rsh dans /etc/shells, puisqu'une modification accidentelle vers un interpréteur restreint empêchera alors l'utilisateur de revenir ensuite à l'interpréteur précédent.Les options ne peuvent pas être combinées.Les options disponibles pour la commande chage sont :Les options applicables à la commande chfn sont :Les options disponibles pour la commande chgpasswd sont :Les options disponibles pour la commande chpasswd sont :Les options applicables à la commande chsh sont :Les options disponibles pour la commande expiry sont :Les options disponibles pour la commande faillog sont :Les options disponibles pour la commande gpasswd sont :Les options disponibles pour la commande groupadd sont :Les options disponibles pour la commande groupdel sont :Les options disponibles pour la commande groupmems sont :Les options disponibles pour la commande groupmod sont :Les options disponibles pour la commande grpck sont :Les options disponibles pour la commande lastlog sont :Les options disponibles pour la commande newusers sont :Les options disponibles pour la commande passwd sont :Les options disponibles pour la commande pwck sont :Les options applicables aux commandes pwconv, pwunconv, grpconv et grpunconv sont :Les options applicables à la commande su sont :Les options disponibles pour la commande useradd sont :Les options disponibles de la commande userdel sont :Les options disponibles pour la commande usermod sont :Les options applicables aux commandes vipw et vigr sont :Le propriétaire des fichiers en dehors du répertoire personnel de l'utilisateur doit être modifié manuellement.Le mot de passe est utilisé quand un utilisateur non membre du groupe veut obtenir les permissions de ce groupe (consultez newgrp1).Le mot de passe sera écrit dans le fichier /etc/passwd local ou le fichier /etc/shadow. Cela peut être différent de la base de données de mots de passe définie dans la configuration de PAM.Préfixe du chemin des répertoires personnels pour les nouveaux utilisateurs. Le nom de l'utilisateur sera attaché à la fin de RÉP_PERSO pour créer le nom du nouveau répertoire personnel si l'option n'est pas utilisée pendant la création d'un nouveau compte.La liste des utilisateurs peut être limitée avec l'option .La commande demandée n'a pas pu être exécutée.La commande demandée n'a pas été trouvée.Le code de retour du script n'est pas pris en compte.La sécurité d'un mot de passe repose sur la force de l'algorithme de chiffrement et sur la taille de l'espace de clés utilisé. La méthode de chiffrement des systèmes UNIX est basée sur l'algorithme NBS DES. Des méthodes plus récentes sont maintenant recommandées (voir ). La taille de l'espace de clés dépend de l'aléa du mot de passe utilisé.Interpréteur de commandes indiqué dans /etc/passwd pour l'utilisateur cible.Interpréteur de commande indiqué par --shell.Interpréteur de commande devant être appelé.Le répertoire squelette, qui contient les fichiers et répertoires qui seront copiés dans le répertoire personnel de l'utilisateur, quand le répertoire personnel est créé par useradd.La chaîne de caractères utilisée pour l'invite de mot de passe. La valeur par défaut est d'utiliser "Password: " (« mot de passe : »), ou une traduction de cette chaîne. Si vous définissez cette variable, l'invite ne sera pas traduite.La structure du fichier est la suivante :Le superutilisateur peut préciser la liste des membres du groupe à modifier.L'administrateur système doit se charger de placer les fichiers par défaut dans le répertoire /etc/skel (ou tout autre répertoire de modèles indiqué dans /etc/default/useradd ou sur la ligne de commande).Les permissions de terminal : la connexion tty appartiendra au groupe et les permissions seront configurées à .Dans un premier temps, l'utilisateur doit fournir son ancien mot de passe, s'il en avait un. Ce mot de passe est ensuite chiffré puis comparé avec le mot de passe enregistré. L'utilisateur n'a droit qu'à un seul essai pour entrer le mot de passe correct. Le superutilisateur peut contourner cette première étape de manière à changer les mots de passe ayant été oubliés.Un mot de passe est ensuite demandé à l'utilisateur. L'affichage du mot de passe est désactivé pour éviter de révéler le mot de passe. Seul un petit nombre d'échecs est permis avant que login ne quitte et que la liaison ne soit interrompue.Le nouveau mot de passe sera demandé deux fois à l'utilisateur. Le second mot de passe est comparé avec le premier. Ces deux mots de passe devront être identiques pour que le mot de passe soit changé.Un mot de passe sera demandé à l'utilisateur, si nécessaire. Les mots de passe incorrects produisent un message d'erreur. Toutes les tentatives, réussies ou non, sont enregistrées afin de détecter tout abus du système.La boîte aux lettres et tous les fichiers possédés par l'utilisateur et qui sont situés dans son répertoire personnel verront leur identifiant d'utilisateur automatiquement modifié.Le nouveau répertoire personnel de l'utilisateur.Les utilisateurs peuvent être précisés par un nom de connexion, un identifiant numérique d'utilisateur ou un INTERVALLE d'utilisateurs. Cet INTERVALLE d'utilisateurs peut être précisé avec des valeurs minimale et maximale (UID_MIN-UID_MAX), seulement une valeur maximale (-UID_MAX) ou une valeur minimale (UID_MIN-).Les identifiants possibles sont :La valeur 0 a une signification particulière : l'utilisateur devra changer son mot de passe la prochaine fois qu'il se connectera au système.La valeur 0 signifie que le système choisira la valeur par défaut du nombre de rounds pour la méthode de chiffrement (5 000).La valeur 0 ne doit pas être utilisée puisqu'elle peut être interprétée soit comme un compte sans expiration, soit comme ayant expiré le 1er janvier 1970.La valeur peut être préfixée par « 0 » pour une valeur octale, ou « 0x » pour une valeur hexadécimale.La valeur de GID doit être un nombre décimal positif. Cette valeur doit être unique, à moins que l'option ne soit utilisée.Les valeurs doivent être comprises dans l'intervalle 1 000 - 999 999 999.La complexité de ce mot de passe est alors testée. Comme ligne de conduite générale, un mot de passe doit toujours être constitué de 6 à 8 caractères en en choisissant un ou plus parmi chacun des ensembles suivants :Il en reste sans doute beaucoup. L'analyseur du fichier est particulièrement impitoyable avec les erreurs de syntaxe. Il n'autorise d'espace qu'en début et fin de ligne, et seul le délimiteur spécifique doit être utilisé.Ces vérifications sont les suivantes :Ces champs ne doivent contenir aucun « : ». À l'exception du champ autre, ils ne doivent contenir aucune virgule ou signe égal. Il est également recommandé d'éviter les caractères non US-ASCII, mais cela n'est imposé que pour les numéros de téléphone. Le champ autre est utilisé pour garder des informations de compte utilisées par d'autres applications.Ces quatre programmes opèrent sur les fichiers de mots de passe et d'informations sur les groupes cachés ou non : /etc/passwd, /etc/group, /etc/shadow, et /etc/gshadow.Ces fonctions peuvent n'être utilisées que par le superutilisateur car l'accès au fichier de mots de passe cachés est restreint.Cette commande est destinée aux gros systèmes pour lesquels un nombre importants de comptes sont créés en une seule fois.Cette commande a été conçue pour les gros systèmes pour lesquels un grand nombre de comptes sont mis à jour en même temps.Définir les algorithmes de chiffrement par défaut du système pour coder les mots de passes (si aucun algorithme n'a été indiqué sur la ligne de commandes).Cette fonctionnalité (groupe découpé) permet de limiter la longueur des lignes dans le fichier de groupes. Ceci est utile pour s'assurer que les lignes pour les groupes NIS ne sont pas plus grandes que 1024 caractères.Ce champ définit l'interpréteur de commande de l'utilisateur. Aucune vérification n'est effectuée sur ce champ.Ce champ est copié dans le champ GECOS de l'utilisateur.Ce champ est réservé pour une utilisation future.Ce champ est utilisé pour définir l'UID de l'utilisateur.Ce champ est utilisé pour définir le répertoire personnel de l'utilisateur.Ce champ est utilisé pour définir l'identifiant du groupe primaire de l'utilisateur.Ce champ peut être vide. Dans ce cas aucun mot de passe n'est nécessaire pour s'authentifier avec l'identifiant de connexion indiqué. Cependant, certaines applications qui lisent le fichier /etc/shadow peuvent n'autoriser aucun accès si le mot de passe est vide.Ce champ peut être vide. Dans ce cas seuls les membres du groupe peuvent obtenir les permissions du groupe.Ce champ sera chiffré et utilisé comme nouvelle valeur du mot de passe chiffré.Ce fichier est un fichier texte, dont chaque ligne décrit un paramètre de configuration. Les lignes consistent en un nom et une valeur, séparés par une espace. Les lignes blanches et les lignes de commentaires sont ignorées. Les commentaires commencent par un caractère « # », qui doit être le premier caractère non blanc de la ligne.Ce fichier ne doit pas être accessible en lecture par les utilisateurs normaux afin de maintenir la sécurité des mots de passe, en particuliers pour prévenir les attaques par dictionnaires.C'est le nom de l'utilisateur.Cette option ne peut être utilisée qu'avec et permet d'afficher l'état des mots de passe pour tous les utilisateurs.Avec cette option, la commande quittera juste avec un état de succès si le groupe indiqué existe déjà. Avec l'option , si l'identifiant de groupe indiqué existe déjà, un autre identifiant de groupe (non utilisé) sera choisi (c.-à-d. que est désactivée).Cette option impose la suppression de l'utilisateur, même s'il est encore connecté. Elle force également userdel à supprimer son répertoire personnel et sa file d'attente des courriels, même si un autre utilisateur utilise le même répertoire personnel ou si l'utilisateur précisé n'est pas le propriétaire de la file d'attente des courriels. Si USERGROUPS_ENAB vaut yes dans /etc/login.defs et si un groupe existe avec le même nom que l'utilisateur supprimé, alors ce groupe sera supprimé, même s'il s'agit du groupe primaire d'un autre utilisateur.Cette option n'a aucun effet quand est activée.Cette option n'est valable que si l'option (ou ) est utilisée.Cette option ne fonctionne que lorsqu'elle est combinée avec l'option (ou ).Cette option n'est valable qu'avec l'option .Cette option permet de désactiver un compte quelques temps après expiration de son mot de passe. DURÉE_INACTIVITÉ jours après expiration de son mot de passe, l'utilisateur ne pourra plus se connecter avec ce compte.Cette option peut être spécifiée plusieurs fois pour ajouter plusieurs plages à un compte utilisateur.Cette option peut être spécifiée plusieurs fois pour retirer plusieurs plages à un compte utilisateur. Quand les deux options et sont spécifiées en même temps, le retrait de l'ensemble des plages d'identifiants de groupe subordonnés est effectué avant l'ajout des plages d'identifiants de groupe subordonnés.Cette option peut être spécifiée plusieurs fois pour retirer plusieurs plages à un compte utilisateur. Quand les deux options et sont spécifiées en même temps, le retrait de l'ensemble des plages d'identifiants subordonnés est effectué avant l'ajout des plages d'identifiants subordonnés.Cette option permet d'ajouter un groupe avec un identifiant (« GID ») déjà utilisé.Cette option nécessite un fichier /etc/shadow. Une entrée /etc/shadow sera créée si il n'y en avait pas.Cette option configure la variable dans /etc/default/useradd.Cette option configure la variable dans /etc/default/useradd.Cette option configure la variable dans /etc/default/useradd.Cette option configure la variable dans /etc/default/useradd.Cette option configure la variable dans /etc/default/useradd.Ce paramètre précise quelles valeurs du champ gecos du fichier passwd peuvent être modifiées par les utilisateurs ordinaires à l'aide du programme chfn. Il est constitué d'une combinaison de lettres parmi f, r, w et h, correspondant respectivement au nom complet, au numéro de bureau, au numéro de téléphone professionnel et au numéro de téléphone personnel. Pour des raisons de compatibilité avec des versions antérieures, yes est équivalent à rwh et no à frwh. S'il n'est pas précisé, seul le superutilisateur peut effectuer des modifications. Pour une configuration encore plus restrictive, il sera préférable de ne pas installer chfn avec l'indicateur SUID positionné.Ce mot de passe remplace tout mot de passe indiqué dans /etc/group.Ce réglage ne s'applique pas pour les utilisateurs système, et peut être annulé sur la ligne de commande.Cet outil ne fonctionne que sur le fichierles fichiers /etc/group et /etc/gshadow. Par conséquent vous ne pouvez modifier aucun groupe NIS ou LDAP. Cela doit être effectué sur le serveur correspondant.Cette valeur doit être unique, à moins que l'option ne soit utilisée. La valeur ne doit pas être négative.Cette variable est obsolète. Vous devriez utiliser .Cette variable est écrasée par la variable ou par toute option de la ligne de commande utilisée pour configurer l'algorithme de chiffrement.Cette version de login comporte de nombreuses options de compilation. Seules certaines d'entre elles peuvent avoir été activées sur votre site.Cette version de su a de nombreuses options de compilation. Seules certaines d'entre elles peuvent avoir été activées sur votre site.Ce sera probablement écrasé par PAM, puisque le module pam_unix est réglé en dur pour n'effectuer que 3 tentatives. Toutefois, il s'agit d'une solution de repli au cas où vous utilisez un module d'authentification qui ne fait pas appliquer PAM_MAXTRIES.ThomasUn simple tiret « - » sera suffisant pour désactiver toute limite à un utilisateur, Afin de désactiver une limite pour un utilisateur, un simple tiret « - » peut être utilisé au lieu d'une valeur numérique pour cette limite.Pour désactiver toutes les connexions, veuillez consulter nologin5.U : nombre maximal de processusUID déjà utilisé (et pas d'option )USE_TCBDéverrouiller le mot de passe d'un utilisateur. Cela supprime le « ! » situé devant le mot de passe chiffré. Vous ne pouvez pas utiliser cette option avec ou .Déverrouiller le mot de passe du compte indiqué. Cette option réactive un mot de passe en remettant le mot de passe à sa valeur précédente (la valeur présente avant l'utilisation de l'option ).Permettre d'utiliser le chiffrement MD5, plutôt que DES, lorsque les mots de passe fournis ne sont pas chiffrés.Utiliser la méthode précisée pour chiffrer les mots de passe.Utiliser le nombre de rounds précisé pour chiffrer les mots de passe.Commandes utilisateurInformations sur les comptes des utilisateurs.Les noms d'utilisateur sont limités à 16 caractères.Les noms d'utilisateur doivent commencer par une lettre minuscule ou un tiret bas (« underscore »), et seuls des lettres minuscules, des chiffres, des « underscore », ou des tirets peuvent suivre. Ils peuvent se terminer par un signe dollar. Soit, sous la forme d'une expression rationnelle : [a-z_][a-z0-9_-]*[$]?Il se peut que les utilisateurs ne puissent pas changer leur mot de passe sur un système si NIS est activé et qu'ils ne sont pas connectés au serveur NIS.Les utilisateurs qui utilisent ce groupe comme groupe primaire seront mis à jour pour garder le groupe comme groupe primaire.Les utilisateurs avec un mot de passe verrouillé ne sont pas autorisés à le changer.VISUALAvertir en cas de mots de passe faibles (mais les accepte quand même) si vous êtes superutilisateur.Lorsque est utilisé, il doit être indiqué avant tout . Pour des questions de compatibilité il est recommandé de l'utiliser en dernière option, avant tout . Les autres formes ( et ) ne présentent pas cette restriction.Quand est configurée à SHA256 ou SHA512, cela définit le nombre de rounds de SHA utilisés par l'algorithme de chiffrement par défaut (quand le nombre de rounds n'est pas précisé sur la ligne de commande).Quand PAM est utilisé pour chiffrer les mots de passe (et pour mettre à jour les mots de passe dans la base de données du système), si aucun mot de passe ne peut être mis à jour, chpasswd continuera la mise à jour des mots de passe pour les utilisateurs suivants, et renverra un code d'erreur en sortie.Quand il est invoqué avec seulement l'option , useradd affichera les valeurs actuelles par défaut. Quand il est invoqué avec l'option et d'autres options, useradd mettra à jour les valeurs par défaut des options précisées. Les options valables sont :Quand elle est invoquée sans l'option , la commande useradd crée un nouveau compte utilisateur qui utilise les valeurs indiquées sur la ligne de commande et les valeurs par défaut du système. En fonction des options de la ligne de commande, la commande useradd fera la mise à jour des fichiers du système, elle pourra créer le répertoire personnel et copier les fichiers initiaux.Quand aucune des options , ou n'est utilisée, faillog affiche l'enregistrement des échecs de connexion des utilisateurs précisés.Lorsqu'un utilisateur se connecte, le fichier login.access est lu jusqu'à la première entrée correspondant à la paire (utilisateur, hôte) ou, dans le cas d'une connexion ne passant pas par le réseau, à la première entrée correspondant au couple (utilisateur, tty). Le champ des permissions de la table pour cette entrée détermine alors si la connexion doit être acceptée ou refusée.En combinaison avec l'option , cette option permet de changer l'identifiant du groupe (GID) vers une valeur déjà utilisée.En combinaison avec l'option , cette option permet de changer l'identifiant utilisateur vers une valeur déjà utilisée.Où vers-id peut être le mot ALL, une liste de noms d'utilisateurs séparés par une virgule ou ALL EXCEPT suivi d'une liste d'utilisateurs séparés par une virgule.Avec beaucoup de rounds, il est plus difficile de trouver le mot de passe avec une attaque par force brute. Veuillez remarquer que plus de ressources processeur seront nécessaires pour authentifier les utilisateurs.Avec les options , , ou les enregistrements des utilisateurs sont modifiés, même si l'utilisateur n'existe pas sur le système. C'est utile pour remettre à zéro les enregistrements des utilisateurs qui ont été supprimés ou pour mettre en place une politique préventive pour un ensemble d'utilisateurs.L'accès en écriture sur /var/log/faillog est nécessaire pour cette option.Vous pouvez trouver des conseils sur la façon choisir un mot de passe robuste sur http://en.wikipedia.org/wiki/Password_strength (en anglais).Vous ne pouvez utiliser cette méthode qu'avec les méthodes de chiffrement SHA256 ou SHA512.Vous pouvez utiliser le paramètre pour séparer les options de su des paramètres fournis par l'interpréteur de commandes.Vous ne pouvez pas ajouter d'utilisateur à un groupe NIS ou LDAP. Cela doit être effectué sur le serveur correspondant.Vous ne pouvez pas ajouter d'utilisateur à un groupe NIS ou LDAP. Cela doit être effectué sur le serveur correspondant.Vous ne pouvez supprimer aucun attribut NIS d'un client NIS. Cela doit être effectué sur le serveur NIS.Vous ne pouvez pas supprimer le groupe primaire d'un utilisateur existant. Vous devez supprimer l'utilisateur auparavant.Il est nécessaire de changer manuellement le propriétaire des fichiers crontab ou des travaux programmés par at.Les modifications qui concernent NIS doivent être effectuées sur le serveur NIS.Il est nécessaire de contrôler que l'identifiant indiqué n'a pas de processus en cours d'exécution si cette commande est utilisée pour modifier l'identifiant numérique de l'utilisateur, son identifiant (login) ou son répertoire personnel. usermod effectue ce contrôle sous Linux mais vérifie seulement les informations d'utmp sur les autres architectures.Vous devriez le désactiver si les fichiers de démarrage de l'interpréteur de commandes vérifient déjà la présence de courriers (« mail -e » ou équivalent).Il est nécessaire de vérifier si le mot de passe respecte la politique de mots de passe du système.Vous devez vous assurer que les mots de passe et la méthode de chiffrement respectent la politique de mot de passe du système.Vous devriez vérifier vous-même qu'aucun fichier possédé par le groupe ne subsiste sur tous les systèmes de fichiers.Vous devez vérifier vous-même qu'aucun fichier possédé par l'utilisateur ne subsiste sur tous les systèmes de fichiers.Vous devez utiliser la même liste d'utilisateurs que dans /etc/group.Vos identifiants d'utilisateur et de groupe seront définis en fonction des valeurs spécifiées dans le fichier /etc/passwd. Les valeurs des variables d'environnement $HOME, $SHELL, $PATH, $LOGNAME, et $MAIL seront définies en fonction des champs appropriés de l'entrée qui vous correspond. Les valeurs d'ulimit, d'umask et de nice pourront également être affectées en fonction des entrées du champ GECOS.correspondance d'entrée dans le fichier /etc/gshadow (respectivement /etc/group pour les vérifications de gshadow).unicité et validité des noms de groupe ;unicité et validité des noms d'utilisateur ;validité des identifiants de groupe (seulement /etc/group) ;validité du répertoire personnel ;validité de la liste de membres et d'administrateurs ;validité de l'interpréteur de commandes initial (« login shell »).validité du groupe primaire ;validité des identifiants d'utilisateur et de groupe ;date de fin de validité du compteAdministrer Administrer et Administrer les membres du groupe primaire d'un utilisateuradministrateursDémarrer une session sur le systèmeimpossible de créer le répertoire personnelimpossible de trouver le fichier des mots de passe cachésimpossible de verrouiller les fichiers groupimpossible de verrouiller les fichiers de mots de passeimpossible d'ouvrir les fichiers groupimpossible d'ouvrir les fichiers de mots de passeimpossible de supprimer le répertoire personnelimpossible de supprimer le groupe primaire d'un utilisateur existantimpossible de trier les fichiers de mots de passeImpossible de mettre à jour la correspondance d'utilisateur SELinuximpossible de mettre à jour le fichier des groupesimpossible de mettre à jour les fichiers groupimpossible de mettre à jour le fichier des mots de passeimpossible de mettre à jour les fichiers des mots de passechageChanger l'interpréteur de commandes initialModifier le mot de passe dans la base REPOSITORYModifier le nom complet et les informations associées à un utilisateurChanger d'identifiant d'utilisateur ou devenir superutilisateurModifier le mot de passe d'un utilisateurModifier les informations de validité d'un mot de passeVérifier et sécuriser la durée de validité des mots de passechfnchgpasswdchpasswdchshConvertir vers ou depuis les fichiers de mots de passe ou de groupe cachésCréer un nouveau groupecréer un nouvel utilisateur ou modifier les informations par défaut appliquées aux nouveaux utilisateursdate du dernier changement de mot de passeSupprimer un groupesupprimer un compte utilisateur et les fichiers associésFichier de contrôle détaillé de suchiffres de 0 à 9Afficher la liste des groupes auxquels appartient l'utilisateurExaminer le fichier faillog, et configurer les limites d'échecs de connexionÉditer les fichiers passwd, group, shadow ou gshadowmot de passe chiffréroutines d'utilisation des mots de passe cachésImposer les restrictions de connexion dans le tempschaque entrée de passwd a une entrée correspondante dans shadow, et chaque entrée shadow a une entrée passwd correspondante ;exécuter une commande avec un autre identifiant de groupeexpiryfaillogfichierpar-id utilise le même format que vers-id, mais accepte également le mot-clé GROUP. ALL EXCEPT GROUP est également accepté. GROUP est suivi d'un ou plusieurs noms de groupes, séparés par une virgule. Il n'est pas suffisant d'avoir comme groupe primaire le groupe approprié : une entrée dans /etc/group5 est nécessaire.getspnamgpasswdgroupegroupe commandenom du groupenom de groupe déjà utilisénom de groupe déjà utilisénom_groupegroupaddgroupdelgroupmemsgroupmodgroupsgrpckgrpconvgrpunconvgshadowhôteint lckpwdf();int putspent(struct spwdint ulckpwdf();paramètre non valable pour l'optioncombinaison d'options non valableerreur de syntaxekloczek@pld.org.pllastloglimitsse connecter avec un nouveau groupelogintable de contrôle des connexionsjournal des échecs de connexionnom de connexion de l'utilisateur (« login »)login.accesslogin.defslogoutdcaractères alphabétiques minusculesâge maximum du mot de passemembresâge minimum du mot de passeModifier la définition d'un groupe du systèmeModifier un compte utilisateurnewgrpnewgrp / sgnewusersnicolas.francois@centraliens.netnologinl'identifiant numérique du groupe de l'utilisateurl'identifiant numérique de l'utilisateurune entrée de groupe ou plus est incorrecteune entrée de mot de passe ou plus est incorrecteoptionun mot de passe chiffré optionnelun mot de passe chiffré optionnell'interpréteur de commandes de l'utilisateur (optionnel)optionsou sous la forme :passwdpériode d'inactivité du mot de passepériode d'avertissement d'expiration du mot de passeles mots de passe sont indiqués dans le fichier des mot de passe cachés ;permission refuséerefuser poliment une connexionFichier de configuration des droits d'accès en fonction de la date et de l'heureporttimemarques de ponctuationpw_dirpw_gecospw_gidpw_namepw_name:pw_passwd:pw_uid:pw_gid:pw_gecos:pw_dir:pw_shellpw_passwdpw_shellpw_uidpwckpwconvpwunconvsignaler les connexions les plus récentes de tous les utilisateurs ou d'un utilisateur donnéchamp réservéréinitialise suivant les options ou dans /etc/login.defs (voir ci-dessous) :réinitialise à <space><tab><newline>, s'il a été défini.définition des limites de ressourcesinformations cachées sur les groupessgshadowles entrées de shadow sont uniques dans shadow ;les entrées de shadow ont le bon nombre de champs ;configuration de la suite des mots de passe cachés « shadow password »shadow-utilsMainteneur de shadow-utils, 2000 - 2007Mainteneur de shadow-utils, 2007 - maintenantinformations cachées sur les groupesfichier des mots de passe cachéssp_expire - nombre de jours, comptés à partir du 1er janvier 1970, après lesquels le compte sera désactivésp_flag - réservé pour une utilisation futuresp_inact - nombre de jours après la fin de validité du mot de passe avant de considérer que le compte est inactif et soit désactivésp_lstchg - nombre de jours, comptés à partir du 1er janvier 1970, depuis la dernière modification du mot de passesp_max - nombre maximal de jours avant que le mot de passe doive être changésp_min - nombre de jours pendant lesquels le mot de passe ne peut pas être changésp_namp - pointeur vers le nom d'utilisateur terminé par un zéro binaire (« null-terminated »)sp_pwdp - pointeur vers le mot de passe terminé par un zéro binaire (« null-terminated »)sp_warn - nombre de jours avant que le mot de passe n'arrive en fin de validité pendant lesquels l'utilisateur est averti de la fin prochaine de la validité de son mot de passele groupe spécifié n'existe pasl'utilisateur indiqué n'existe passtruct spwd *fgetspent(FILEstruct spwd *getspent();struct spwd *getspnam(charstruct spwd *sgetspent(charstruct spwd { char *sp_namp; /* nom de connexion de l'utilisateur */ char *sp_pwdp; /* mot de passe chiffré */ long int sp_lstchg; /* dernier changement de mot de passe */ long int sp_min; /* jours avant de pouvoir changer de mot de passe */ long int sp_max; /* jours avant l'obligation de changer de mot de passe */ long int sp_warn; /* jours d'avertissement avant la fin de validité */ long int sp_inact; /* jours avant que le compte soit inactif */ long int sp_expire; /* date de fin de validité du compte */ unsigned long int sp_flag; /* réservé pour une utilisation future */ } susuauthsuccèssuccès ( uniquement)suloginnombre correct de champs ;la date du dernier changement de mot de passe n'est pas dans le futur.fichier des mots de passeNicolas FRANÇOIS , 2005-2010Thomas Blein , 2011-2012Debian French l10n team , 2011-2012échec inattendu, le fichier passwd est manquantéchec inattendu, rien n'a été faitMettre à jour, ou créer de nouveaux utilisateurs par lotsMettre à jour par lot des mots de passe des groupesMettre à jour des mots de passe par lotutilisateurutilisateur LISTE_DE_LIMITESl'utilisateur est actuellement connectéle répertoire personnel de l'utilisateurle nom complet de l'utilisateur ou un champ de commentairesnom_utilisateuruseradduserdelusermodnom_utilisateurnom d'utilisateur déjà utiliséVérifier l'intégrité des fichiers d'administration des groupesVérifier l'intégrité des fichiers de mots de passevigrvipwvoid endspent();void setspent();