set password for user linux

Von Sophie Peters technology 13 Min. Lesezeit
set password for user linux

Passwörter sind der Türsteher deines Systems. Wenn dieser schläft oder bestechlich ist, bringt die teuerste Firewall nichts. Wer sich mit der Systemadministration beschäftigt, stolpert früher oder später über die Notwendigkeit, Zugänge zu verwalten oder zu schützen. Es gibt Situationen, in denen man schnell reagieren muss, etwa wenn ein Mitarbeiter das Unternehmen verlässt oder ein privater Schlüssel kompromittiert wurde. In solchen Momenten ist die Funktion Set Password For User Linux das Werkzeug, das über Sicherheit oder Totalausfall entscheidet. Linux bietet hierfür mächtige Bordmittel, die weit über das bloße Tippen einer Zeichenfolge hinausgehen. Wir schauen uns heute an, wie man das richtig macht, ohne sich auszusperren oder Sicherheitslücken aufzureißen.

Warum die manuelle Vergabe von Zugangsdaten so wichtig ist

Ein System ist nur so sicher wie sein schwächstes Glied. Oft sind das standardisierte Passwörter nach einer Neuinstallation. Ich habe schon zu viele Server gesehen, die innerhalb von Minuten nach dem Online-Gang per Brute-Force geknackt wurden. Das passiert, weil Administratoren die Standardeinstellungen unterschätzen. Wer die volle Kontrolle behalten will, muss wissen, wie man Benutzerkonten isoliert und mit individuellen Geheimnissen versieht.

Es geht nicht nur darum, irgendwelche Zeichen zu setzen. Es geht um die Durchsetzung von Richtlinien. Wie oft müssen Passwörter geändert werden? Welche Komplexität ist erforderlich? Linux erlaubt es uns, diese Regeln bis ins kleinste Detail festzulegen. Dabei spielt es keine Rolle, ob man eine Debian-Variante, Arch oder ein Enterprise-System wie RHEL nutzt. Die Logik dahinter bleibt identisch, auch wenn die Werkzeuge im Hintergrund manchmal variieren.

Die Rolle des Root-Benutzers

Ohne Privilegien läuft hier nichts. Wer ein Passwort für einen anderen Nutzer ändern möchte, braucht Superuser-Rechte. Das geschieht meist über den Befehl sudo. Viele Anfänger machen den Fehler und versuchen es ohne diese Rechte, nur um dann eine Fehlermeldung zu erhalten. Das ist ein Sicherheitsmechanismus. Stell dir vor, jeder einfache Nutzer könnte das Passwort des Administrators ändern. Das wäre das Ende jeder Integrität.

Wenn du sudo nutzt, handelst du im Auftrag des Systems. Das ist eine große Verantwortung. Ein falscher Befehl und das System verhält sich nicht mehr so, wie du es erwartest. Deshalb sollte man solche Änderungen immer mit Bedacht durchführen. Es empfiehlt sich, immer ein zweites Terminalfenster offen zu halten, in dem man noch eingeloggt ist, falls man beim Ändern des eigenen Passworts einen Fehler macht.

Set Password For User Linux und der Weg über das Terminal

Der Standardbefehl für diese Aufgabe ist passwd. Er ist simpel, effizient und auf jeder Distribution vorhanden. Wenn man als Administrator eingeloggt ist, tippt man einfach den Befehl gefolgt vom Benutzernamen ein. Das System fragt dann zweimal nach dem neuen Passwort. Während des Tippens siehst du nichts. Kein Sternchen, keinen Cursor, der sich bewegt. Das irritiert Neulinge oft. Es ist aber ein wichtiger Schutz gegen Leute, die dir über die Schulter schauen könnten.

Ein konkretes Beispiel aus der Praxis

Nehmen wir an, ein neuer Entwickler namens "max" tritt dem Team bei. Du hast sein Konto bereits angelegt, aber er braucht nun sein erstes Passwort. Du tippst sudo passwd max. Jetzt fordert dich das System auf, die Zeichenfolge einzugeben. Du nimmst etwas Sicheres. Nach der Bestätigung ist der Zugang sofort aktiv. Max kann sich nun einloggen.

Ein guter Tipp: Zwinge den Nutzer dazu, dieses Passwort beim ersten Login sofort zu ändern. Das geht mit dem Befehl sudo passwd -e max. Das "-e" steht für "expire". Das Passwort läuft also sofort ab. Wenn Max sich das nächste Mal anmeldet, muss er zwingend ein eigenes, privates Passwort wählen. Das erhöht die Sicherheit, da du als Admin sein finales Passwort dann nicht mehr kennst. So gehört es sich in einer professionellen Umgebung.

Umgang mit Fehlermeldungen

Manchmal weigert sich das Programm, ein Passwort zu akzeptieren. "Password is too simple" oder "Based on a dictionary word" sind Klassiker. Das liegt an installierten Modulen wie pam_pwquality. Diese prüfen im Hintergrund, ob die Wahl den Sicherheitsrichtlinien entspricht. Man kann diese Warnungen als Root zwar ignorieren, sollte es aber nicht tun. Sicherheit ist kein Hindernis, sondern eine Notwendigkeit.

Wer auf einem Debian-basierten System arbeitet, kann die Konfiguration dieser Regeln oft unter /etc/pam.d/common-password finden. Aber Vorsicht: Wer hier ohne Plan herumpfuscht, riskiert, dass sich niemand mehr anmelden kann. Es ist besser, die Standardwerte zu lassen und stattdessen die Nutzer zu schulen, vernünftige Passphrasen zu verwenden.

Automatisierung und Skripte für große Umgebungen

Wenn du hundert Server verwaltest, kannst du nicht überall manuell passwd tippen. Das wäre Wahnsinn. Hier kommen Werkzeuge wie Ansible oder einfache Shell-Skripte ins Spiel. Aber wie übergibt man ein Passwort an einen Befehl, der eigentlich eine interaktive Eingabe erwartet?

Der Einsatz von Chpasswd

Hier kommt chpasswd ins Spiel. Dieser Befehl liest Daten von der Standardeingabe. Man kann ihm eine Liste im Format "nutzername:passwort" schicken. Das ist extrem nützlich für Skripte. Ein Beispiel: echo 'max:SicheresPasswort123' | sudo chpasswd. Das geht schnell und ohne Rückfragen.

Aber Achtung: Solche Befehle hinterlassen Spuren in der Bash-History. Wer den Befehl history aufruft, sieht das Passwort im Klartext. Das ist ein massives Sicherheitsrisiko. Wenn man diesen Weg nutzt, sollte man danach die History löschen oder den Befehl so gestalten, dass er nicht geloggt wird. In professionellen Setups nutzt man hierfür verschlüsselte Variablen in Automatisierungstools.

Die Schattenseite Die Datei etc shadow

Wo landen diese Passwörter eigentlich? Linux speichert sie nicht im Klartext. Das wäre katastrophal. Stattdessen liegen sie in einer Datei namens /etc/shadow. Nur der Root-Nutzer kann diese Datei lesen. Darin befinden sich Hashes. Ein Hash ist eine Einwegfunktion. Man kann aus dem Hash nicht einfach das Passwort zurückrechnen.

Aufbau der Shadow Datei

Jede Zeile in dieser Datei enthält wichtige Informationen. Zuerst kommt der Nutzername. Dann folgt der verschlüsselte Hash. Danach kommen Zahlen, die angeben, wann das Passwort zuletzt geändert wurde und wann es ablaufen wird. Es ist faszinierend zu sehen, wie Linux diese Daten verwaltet. Die genauen Spezifikationen dazu findet man oft in der offiziellen Dokumentation von Organisationen wie der Free Software Foundation.

🔗 Weiterlesen: echo dot vs echo pop

Wenn man ein Passwort vergisst, kann man es nicht "auslesen". Man kann es nur überschreiben. Das ist ein grundlegendes Prinzip moderner IT-Sicherheit. Wer physischen Zugriff auf den Server hat, kann das System im Single-User-Mode booten und das Root-Passwort zurücksetzen. Das zeigt uns: Physische Sicherheit ist die Basis für alles andere.

Sicherheit durch starke Algorithmen erhöhen

Früher wurde oft der DES-Algorithmus verwendet. Der ist heute ein Witz für jeden modernen Grafikprozessor, der Passwörter knacken will. Moderne Systeme nutzen SHA-512 oder noch besser: Yescrypt oder Argon2. Diese Algorithmen sind darauf ausgelegt, teuer zu sein. Nicht teuer im Sinne von Geld, sondern im Sinne von Rechenzeit und Speicher.

Je länger ein Computer braucht, um einen einzigen Hash zu berechnen, desto schwerer haben es Angreifer bei einer Brute-Force-Attacke. Du kannst prüfen, welcher Algorithmus auf deinem System aktiv ist, indem du in die Datei /etc/login.defs schaust. Dort steht meist ein Eintrag wie ENCRYPT_METHOD SHA512. Wenn dort noch MD5 oder DES steht, hast du ein Problem und solltest dringend ein Upgrade in Erwägung ziehen.

Warum Argon2 die Zukunft ist

Argon2 ist der Gewinner des Password Hashing Competition. Es ist resistent gegen Angriffe mit spezieller Hardware wie ASICs. Viele moderne Distributionen stellen schleichend darauf um. Wer maximale Sicherheit will, konfiguriert sein System so, dass neue Passwörter nur noch mit Argon2 gehasht werden. Das ist ein kleiner Schritt in der Konfiguration, aber ein riesiger Sprung für die Verteidigung deines Servers.

Häufige Fehler bei der Passwortverwaltung

Ich habe es oft erlebt: Administratoren setzen Passwörter, die sie sich selbst leicht merken können. "Sommer2024!" ist kein sicheres Passwort. Es ist eine Einladung. Ein weiteres Problem ist das Teilen von Konten. Wenn drei Leute das Passwort für den User "admin" kennen, weiß man im Ernstfall nicht, wer eine Fehlkonfiguration verursacht hat.

Jeder Mensch braucht sein eigenes Konto. Punkt. Über Gruppenberechtigungen steuert man dann den Zugriff auf Dateien oder Dienste. Das ist sauberer und revisionssicher. Wenn dann jemand geht, wird nur sein Konto gesperrt und die anderen können normal weiterarbeiten. Das spart Zeit und Nerven.

Den Root-Login per SSH deaktivieren

Das ist zwar kein direkter Befehl zur Passwortänderung, gehört aber zum Thema Sicherheit dazu. Wenn du ein Passwort für einen Nutzer gesetzt hast, sollte dieser Nutzer sudo verwenden. Den direkten Login für den Benutzer "root" über das Netzwerk sollte man in der /etc/ssh/sshd_config deaktivieren. Das zwingt Angreifer dazu, erst einen normalen Nutzernamen und dann das zugehörige Passwort zu erraten. Das verdoppelt den Aufwand für den Angreifer.

Set Password For User Linux im Kontext von Webservern

In der Welt der Webhoster sieht die Sache oft anders aus. Hier werden Konten oft über Panels wie Plesk oder cPanel verwaltet. Aber im Hintergrund passiert genau das, was wir hier besprechen. Das Panel ruft die Systembefehle auf. Wer versteht, wie es auf der Konsole funktioniert, kann Fehler im Panel viel schneller finden. Manchmal klemmt die Synchronisation zwischen der Datenbank des Panels und den Systemdateien. Dann hilft nur der Griff zum Terminal.

Ich erinnere mich an einen Fall, bei dem ein Kunde sein Passwort im Webinterface änderte, aber der FTP-Zugang weiterhin das alte Passwort verlangte. Der Grund war ein hängengebliebener Prozess, der die /etc/shadow blockierte. Ein kurzer manueller Eingriff auf der Kommandozeile löste das Problem in Sekunden. Solches Wissen unterscheidet den Klick-Admin vom echten Profi.

Nicht verpassen: aspirateur silence force extreme rowenta

Passwortrichtlinien und gesetzliche Vorgaben

In Deutschland und Europa gibt es durch die DSGVO und andere Richtlinien klare Anforderungen an die Datensicherheit. Ein System, das mit schwachen Passwörtern betrieben wird, kann im Falle eines Datenlecks als grob fahrlässig eingestuft werden. Es ist also nicht nur eine technische Frage, sondern auch eine rechtliche.

Organisationen wie das Bundesamt für Sicherheit in der Informationstechnik geben regelmäßig Empfehlungen heraus, wie starke Passwörter auszusehen haben. Früher hieß es: Sonderzeichen, Zahlen, Großbuchstaben. Heute geht der Trend eher zu langen Passphrasen. "DerHutMeinerTanteIstBlauUndGruen123!" ist wesentlich schwerer zu knacken als "Xy1$". Es ist leichter zu merken und durch die schiere Länge extrem sicher gegen automatisierte Angriffe.

Die Bedeutung von Ablaufdaten

Es war jahrelang Best Practice, Nutzer zu zwingen, ihr Passwort alle 90 Tage zu ändern. Die Wissenschaft sagt heute: Das ist eher schädlich. Nutzer neigen dazu, dann einfach nur eine Zahl am Ende zu erhöhen. "Passwort1", "Passwort2" und so weiter. Das ist vorhersehbar. Besser ist es, ein extrem starkes Passwort zu verlangen und dieses nur bei Verdacht auf Missbrauch zu ändern. Linux unterstützt beide Philosophien. Mit dem Befehl chage kannst du genau steuern, wie lange ein Zugang gültig bleibt.

Alternative Authentifizierungsmethoden

Passwörter sind nur eine Seite der Medaille. In der modernen Linux-Administration nutzt man oft SSH-Keys. Das ist noch sicherer. Aber selbst dann braucht man oft noch ein Passwort für den sudo-Befehl oder als Fallback. Man sollte Passwörter also nicht abschreiben. Sie sind das Fundament, auf dem andere Sicherheitslayer aufbauen.

Man kann Linux auch so konfigurieren, dass eine Zwei-Faktor-Authentifizierung (2FA) verlangt wird. Dann reicht das Passwort allein nicht mehr aus. Man braucht zusätzlich einen Code vom Smartphone. Das ist der Goldstandard. Wer einen Server im öffentlichen Netz betreibt, sollte ernsthaft darüber nachdenken. Die Einrichtung dauert vielleicht 20 Minuten, erhöht den Schutzfaktor aber um das Tausendfache.

PAM die geheime Macht im Hintergrund

Alles, was mit Anmeldung zu tun hat, läuft über PAM (Pluggable Authentication Modules). Das ist ein extrem mächtiges System. Es erlaubt es uns, die Authentifizierung fast beliebig zu gestalten. Willst du, dass Passwörter nur zu bestimmten Uhrzeiten geändert werden können? Mit PAM geht das. Willst du Nutzer aussperren, die sich dreimal falsch angemeldet haben? Das Modul pam_faillock ist dein Freund.

Es lohnt sich, einen Blick in das Wiki von Arch Linux zu werfen, wenn man tief in die Materie eintauchen will. Dort sind die Zusammenhänge oft besser erklärt als in manchem Fachbuch. Auch wenn man kein Arch nutzt, sind die Informationen dort meist universell anwendbar.

Praktische Tipps für den Alltag

Wenn du als Admin unterwegs bist, gewöhne dir ein paar Routinen an. Nutze einen Passwortmanager. Niemals, wirklich niemals, solltest du Passwörter in einer Textdatei auf deinem Desktop speichern. Das ist ein absolutes No-Go. Wenn dein Rechner infiziert wird, hat der Angreifer die Schlüssel zu deinem gesamten Königreich.

Ein weiterer Tipp: Wenn du Passwörter für andere setzt, kommuniziere diese niemals per E-Mail oder Slack im Klartext. Nutze Tools, die den Link nach dem ersten Öffnen zerstören. Oder noch besser: Setze ein temporäres Passwort und nutze die oben erwähnte Methode, um den Nutzer beim ersten Login zur Änderung zu zwingen.

👉 Siehe auch: wie viel sind 108 minuten in stunden

Was tun wenn das Root Passwort weg ist

Es ist der Albtraum jedes Admins. Man hat das Root-Passwort vergessen und keinen sudo-Zugang mehr. Bei einem physischen Server vor Ort ist das kein Problem. Man startet neu, geht in den Bootloader (meist GRUB), editiert die Boot-Zeile und hängt init=/bin/bash an. Dann startet das System direkt in eine Root-Shell, ohne nach einem Passwort zu fragen.

Dort kann man dann mit passwd root ein neues Passwort setzen. Aber Vorsicht: Danach muss man das Dateisystem oft erst wieder korrekt mounten und die SELinux-Kontexte (falls aktiv) wiederherstellen. Bei Cloud-Servern bieten die meisten Anbieter eine Rettungskonsole an. Das Prinzip ist dort ähnlich. Es zeigt uns wieder: Wer Zugriff auf die Hardware oder die Virtualisierungsebene hat, beherrscht das System.

Die Gefahr von physischem Zugriff

Da man Passwörter so einfach zurücksetzen kann, wenn man davor sitzt, ist die Verschlüsselung der Festplatte (LUKS) so wichtig. Wenn die Platte verschlüsselt ist, nützt auch der Trick mit der Bash nichts. Man kommt ohne den Entschlüsselungs-Key gar nicht erst an die /etc/shadow heran. Das ist besonders für Laptops wichtig, die verloren gehen könnten.

Zusammenfassung der wichtigsten Befehle

Hier gibt es keine Tabellen, also beschreibe ich es im Text. Der wichtigste Befehl ist passwd. Danach kommt chage für die Verwaltung der Ablauffristen. Für die Automatisierung nutzt man chpasswd. Wer Informationen über den Status eines Nutzers will, nutzt passwd -S. Das zeigt an, ob ein Konto gesperrt ist oder wann das Passwort zuletzt geändert wurde.

Ein gesperrtes Konto erkennt man oft an einem Ausrufezeichen oder Sternchen in der Shadow-Datei. Das bedeutet, dass kein Hash existiert, der mit einer Eingabe übereinstimmen könnte. Man kann einen Account manuell sperren mit passwd -l (lock) und wieder entsperren mit passwd -u (unlock). Das ist extrem nützlich, wenn man einen Zugang temporär deaktivieren möchte, ohne ihn komplett zu löschen.

Nächste Schritte für dein System

  1. Prüfe mit sudo passwd -S dein_benutzername, wann du zuletzt dein Passwort geändert hast. Wenn das über ein Jahr her ist, wird es Zeit für ein neues.
  2. Schau dir die Datei /etc/login.defs an und kontrolliere, welcher Hashing-Algorithmus verwendet wird. SHA512 sollte das Minimum sein.
  3. Probiere den Befehl chage -l dein_benutzername aus, um zu sehen, ob und wann dein Zugang abläuft.
  4. Falls du einen Server im Internet hast: Deaktiviere den Root-Login per SSH und nutze stattdessen einen normalen Nutzer mit starken sudo-Regeln.
  5. Überlege dir eine Strategie für die Passwortweitergabe in deinem Team, falls du nicht alleine arbeitest. Ein sicherer Passwortmanager ist hier die beste Investition.

Sicherheit ist kein Zustand, sondern ein Prozess. Wer heute ein Passwort setzt, muss morgen vielleicht schon wieder umdenken, weil neue Angriffsmethoden bekannt werden. Aber mit den Grundlagen der Benutzerverwaltung unter Linux bist du bestens gerüstet, um deine Daten und deine Infrastruktur zu schützen. Es ist keine Raketenwissenschaft, aber es erfordert Disziplin und das Verständnis für die Mechanismen unter der Haube. Bleib neugierig und hinterfrage regelmäßig deine eigenen Sicherheitsroutinen. Das ist der beste Schutz, den man haben kann.

SP

Sophie Peters

Mit faktenbasierter Arbeitsweise liefert Sophie Peters Beiträge, die Leserinnen und Lesern Orientierung im Nachrichtengeschehen geben.

Ähnliche Artikel

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen
Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält

Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält
Das Flüstern der fernen Giganten oder was A39 uns verschweigt

Das Flüstern der fernen Giganten oder was A39 uns verschweigt
Das Flüstern der unsichtbaren Netze von Sap

Das Flüstern der unsichtbaren Netze von Sap