Cambiar la contraseña de usuario a través de la aplicación GUI

Creo que la respuesta correcta aquí es:no utilices una herramienta de línea de comandos: usa una llamada a la biblioteca. Esto le permitirá manejar mejor los errores y evitará el riesgo de pasar la contraseña en una línea de comando.

Una biblioteca que puedes usar eslibusero, que es relativamente simple y tiene enlaces de C y Python.

Como root, puedes establecer sistemáticamente la contraseña de un usuario mediante un script utilizando este método:

$ echo -n "$passwd" | passwd "$uname" --stdin

Generando contraseñas

Me gusta usar la herramienta de línea de comando.pwgenpara generar contraseñas.

$ passwd="`pwgen -1cny | sed 's/[\$\!]/%/g'`"

$ pwgen --help
Usage: pwgen [ OPTIONS ] [ pw_length ] [ num_pw ]

Options supported by pwgen:
  -c or --capitalize
    Include at least one capital letter in the password
  -A or --no-capitalize
    Don't include capital letters in the password
  -n or --numerals
    Include at least one number in the password
  -0 or --no-numerals
    Don't include numbers in the password
  -y or --symbols
    Include at least one special symbol in the password
  -s or --secure
    Generate completely random passwords
  -B or --ambiguous
    Don't include ambiguous characters in the password
  -h or --help
    Print a help message
  -H or --sha1=path/to/file[#seed]
    Use sha1 hash of given file as a (not so) random generator
  -C
    Print the generated passwords in columns
  -1
    Don't print the generated passwords in columns
  -v or --no-vowels
    Do not use any vowels so as to avoid accidental nasty words

¿Pero no es esto inseguro?

No. La contraseña se pasa a través de STDIN, por passwdlo que, aunque es posible que alguien espíe los procesos a través de ps, incluso eso no debería permitir que un usuario vea los procesos de root, la entrega de la contraseña está passwdbloqueada.

Ejemplo

Digamos que ejecuto este comando en una terminal como root:

$ ( sleep 10; echo "supersecret" | passwd "samtest" --stdin ) &
[1] 13989

Luego ejecuto psen otra terminal:

$ ps -AOcmd | grep pass
14046 passwd samtest --stdin      R pts/11   00:00:00 passwd samtest --stdin

Después de cambiar la contraseña en la primera terminal:

[root@greeneggs ~]# Changing password for user samtest.
passwd: all authentication tokens updated successfully.

¿Qué pasa con el eco para pasar?

Incluso esto no filtra la contraseña. Aquí hay otra prueba que lo demuestra. Primero iniciamos este comando en una terminal secundaria. Esto recopilará la salida de ps.

$ while [ 1 ]; do ps -eaf2>&1 | grep -E "echo|pass";done | tee ps.txt

Luego ejecutamos nuestro comando de configuración de contraseña:

$ echo "supersecret" | passwd "samtest" --stdin &
[1] 20055
$ Changing password for user samtest.
passwd: all authentication tokens updated successfully.

[1]+  Done                    echo "supersecret" | passwd "samtest" --stdin

Verificar el contenido de ps.txtmuestra que la contraseña no se ha filtrado:

$ grep supersecret ps.txt
$

Cambiar el pscomando que usamos ps -eaftampoco lo filtra.

passwd --helpen mi cuadro indica que rootpuedo ejecutarlo para --stdinalimentarlo con la nueva contraseña en stdin.

El comando chpasswd lee una lista de pares de nombre de usuario/contraseña de la línea de comando para actualizar un grupo de usuarios existentes. Cada línea tiene el formato

user_name:password

Este comando está pensado para utilizarse en entornos de sistemas grandes donde se crean muchas cuentas a la vez. Para leer sobre más opciones de este comando, escriba

man chpasswd