aboutsummaryrefslogtreecommitdiff
path: root/zh_CN.GB2312/books/handbook/users/chapter.sgml
diff options
context:
space:
mode:
authorHiroki Sato <hrs@FreeBSD.org>2004-09-26 05:20:38 +0000
committerHiroki Sato <hrs@FreeBSD.org>2004-09-26 05:20:38 +0000
commit8f1c859fcb214c414fa6913292f585a4879d7655 (patch)
treec62e773df353dd15d663bcea872797a02a9c37cb /zh_CN.GB2312/books/handbook/users/chapter.sgml
parent3e941311cb2ef8bb1151068e4f8f6ab382975287 (diff)
Notes
Diffstat (limited to 'zh_CN.GB2312/books/handbook/users/chapter.sgml')
-rw-r--r--zh_CN.GB2312/books/handbook/users/chapter.sgml973
1 files changed, 973 insertions, 0 deletions
diff --git a/zh_CN.GB2312/books/handbook/users/chapter.sgml b/zh_CN.GB2312/books/handbook/users/chapter.sgml
new file mode 100644
index 0000000000..5260329caf
--- /dev/null
+++ b/zh_CN.GB2312/books/handbook/users/chapter.sgml
@@ -0,0 +1,973 @@
+<!--
+ The FreeBSD Chinese Documentation Project
+
+ Original Revision: 1.47
+ $FreeBSD$
+-->
+
+<chapter id="users">
+ <chapterinfo>
+ <authorgroup>
+ <author>
+ <firstname>Neil</firstname>
+ <surname>Blakey-Milner</surname>
+ <contrib>Contributed by </contrib>
+ </author>
+ </authorgroup>
+ <!-- Feb 2000 -->
+ </chapterinfo>
+
+ <title>用户和基本的帐户管理</title>
+
+ <sect1 id="users-synopsis">
+ <title>概述</title>
+
+ <para>FreeBSD允许多个用户同时使用计算机. 当然,这些用户中不是很多人同时坐在同一台计算机前.
+ <footnote>
+ <para>Well, 除非您连接多个终端设备,这种情况我们在<xref linkend="serialcomms">讨论.</para>
+ </footnote>,而是其他用户可以通过网络来使用同一台计算机以完成他们的工作.要使用系统,每个人都应该有一个帐户.</para>
+
+ <para>读完这章,您将了解到:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para>在一个FreeBSD系统上不同用户帐户之间的区别.</para>
+ </listitem>
+
+ <listitem>
+ <para>如何添加用户帐户.</para>
+ </listitem>
+
+ <listitem>
+ <para>如何删除用户帐户.</para>
+ </listitem>
+
+ <listitem>
+ <para>如何改变帐户细节,如用户的全名,或首选的shell.</para>
+ </listitem>
+
+ <listitem>
+ <para>如何在每个帐户基础上设置限制,来控制像内存,CPU时钟这样的资源.</para>
+ </listitem>
+
+ <listitem>
+ <para>如何使用组来使帐户管理更容易.</para>
+ </listitem>
+ </itemizedlist>
+
+ <para>在阅读这章之前,您应当了解:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para>了解&unix;和FreeBSD的基础知识 (<xref
+ linkend="basics">).</para>
+ </listitem>
+ </itemizedlist>
+ </sect1>
+
+ <sect1 id="users-introduction">
+ <title>介绍</title>
+
+ <para>所有访问系统的用户都是通过帐户完成的,所以用户和帐户管理是FreeBSD系统不可或缺的重要部分.</para>
+
+ <para>每个FreeBSD系统的帐户都有一些和它相对应的信息去验证它.</para>
+
+ <variablelist>
+ <varlistentry>
+ <term>用户名</term>
+
+ <listitem>
+ <para>用户名在<prompt>login:</prompt> 提示符的后面键入。
+ 用户名对于一台计算机来讲是唯一的;
+ 您不可以使用两个相同的用户名来登录。
+ 有很多用来创建正确用户名的规则, 具体请参考 &man.passwd.5;;
+ 您使用的用户名通常需要8个或更少的小写字母。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>口令</term>
+
+ <listitem>
+ <para>每个帐户都有一个口令与它对应。
+ 口令可以是空的, 这样不需要口令就可以访问系统。
+ 这通常不是一个好主意; 每个帐户都应该有口令。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>用户 ID (UID)</term>
+
+ <listitem>
+ <para>UID是系统用来识别用户的数字,传统上它的范围是0到65536之间<footnote id="users-largeuidgid">
+ <para>可以使用的 UID/GID 的最大值是
+ 4294967295, 但这可能会给采用上述假定的软件造成严重的问题。</para>
+ </footnote>,用以唯一地标识用户。
+ FreeBSD在内部使用UID来识别用户 &mdash; 在工作以前。
+ 任何允许您指定一个用户名的 FreeBSD 命令都会把它转换成UID。
+ 这意味着您可以用不同的用户名使用多个帐户, 但它们的UID是一样的。
+ FreeBSD 会把这些帐户认定是同一个用户。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>组ID (GID)</term>
+
+ <listitem>
+ <para>GID是用来识别用户所在的组的, 传统上范围在0到65536之间<footnoteref linkend="users-largeuidgid">的数字。
+ 组是一种基于用户GID而不是它们的UID的用来控制用户访问资源的机制。 这可以减少一些配置文件的大小。
+ 一个用户也可以属于多个组。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>登录类</term>
+
+ <listitem>
+ <para>登录类是对组机制的扩展,当把系统分配给不同用户时,它提供了额外的灵活性.</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>口令的定期更改</term>
+
+ <listitem>
+ <para>默认情况下, FreeBSD 并不强制用户去改变他们的口令。
+ 您可以以用户为单位强制要求一些或所有的用户定期改变他们的口令。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>帐户的到期时间</term>
+
+ <listitem>
+ <para>默认情况下 FreeBSD 不会自动完成帐户过期操作。
+ 如果您正在创建帐户, 您应该知道一个帐户的有效使用期限。
+ 例如, 在学校里您会为每个学生建立一个帐户,
+ 您可以指定它们何时过期。
+ 帐户过期后, 虽然帐户的目录和文件仍然存在,
+ 但帐户已经不能继续使用了。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>用户的全名</term>
+
+ <listitem>
+ <para>用户名可以唯一地识别FreeBSD的帐户,
+ 但它不会反映用户的全名。 这些信息可能与帐户是相关的。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>主目录</term>
+
+ <listitem>
+ <para>主目录是用户用来启动的目录的完全路径。
+ 一个通常的规则是把所有用户的主目录都放在
+ <filename>/home/<replaceable>username</replaceable></filename>
+ 下,或者
+ <filename>/usr/home/<replaceable>username</replaceable></filename>
+ 下。 用户将把他们的个人文件放在自己的主目录下,
+ 他们可以在那里创建任何目录.</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term>用户 shell</term>
+
+ <listitem>
+ <para>Shell提供了用户用来操作系统的默认环境。 有很多不同的shell,
+ 有经验的用户会根据他们的经验来选择自己喜好的shell。</para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+
+ <para>有三种类型的帐户: <link
+ linkend="users-superuser">超级用户</link>, <link
+ linkend="users-system">系统用户</link>, 以及 <link
+ linkend="users-user">普通用户</link>。
+ 超级用户帐户通常叫做 <username>root</username>,
+ 可以没有限制地管理系统。 系统用户运行服务。
+ 最后, 普通用户给那些登录系统以及阅读邮件的人使用。</para>
+ </sect1>
+
+ <sect1 id="users-superuser">
+ <title>超级用户帐户</title>
+
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary>超级用户 (root)</secondary>
+ </indexterm>
+ <para>超级用户帐户,
+ 通常叫做 <username>root</username>,
+ 可以重新配置和管理系统, 在收发邮件, 系统检查或编程这样的日常工作中,
+ 尽量不要使用root权限。</para>
+
+ <para>这是因为不象普通用户帐户, 超级用户能够无限制地操作系统,
+ 超级用户帐户的滥用可能会引起无法想象的灾难。
+ 普通的用户帐户不会由于出错而破坏系统, 所以要尽可能的使用普通帐户,
+ 除非您需要额外的特权。</para>
+
+ <para>在使用超级用户命令时要再三检查,
+ 因为一个额外的空格或缺少某个字符的命令都可能会引起数据丢失。</para>
+
+ <para>所以, 在阅读完这章后您第一件要做的事就是,
+ 在平时使用的时候, 创建一个没有特权的用户帐户。
+ 无论您使用的是单用户还是多用户系统这样的申请都是相同的。 在这章的后面,
+ 我们将讨论如何创建一个额外的帐户和如何在普通用户和超级用户之间进行切换。</para>
+ </sect1>
+
+ <sect1 id="users-system">
+ <title>系统帐户</title>
+
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary>系统</secondary>
+ </indexterm>
+ <para>系统用户是那些要使用诸如DNS、 邮件, web等服务的用户。
+ 使用帐户的原因就是安全; 如果所有的用户都由超级用户来运行,
+ 那它们就可以不受约束地做任何事情。</para>
+
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary><username>daemon</username></secondary>
+ </indexterm>
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary><username>operator</username></secondary>
+ </indexterm>
+ <para>系统帐户可以是<username>daemon</username>,
+ <username>operator</username>、 <username>bind</username>
+ (供域名服务使用),和<username>news</username>。 系统管理员经常创建
+ <username>httpd</username> 来运行 web 服务器。</para>
+
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary><username>nobody</username></secondary>
+ </indexterm>
+ <para><username>nobody</username> 是普通的没有特权的系统用户。
+ 然而, 大多数与用户联系很密切的服务是使用
+ <username>nobody</username>的, 记的这点非常重要,
+ 这样可能使用户变的非常有特权。</para>
+ </sect1>
+
+ <sect1 id="users-user">
+ <title>用户帐户</title>
+
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary>用户</secondary>
+ </indexterm>
+ <para>用户帐户是让真实的用户访问系统的主要方式,
+ 这些帐户把用户和环境隔离, 能阻止用户损坏系统和其他用户,
+ 在不影响其他用户的情况之下定制自己的环境。</para>
+
+ <para>任何人访问您的系统必须要有他们自己唯一的帐户。
+ 这可以让您找到谁做了什么事,
+ 并且阻止人们破坏其他用户的设置和阅读其他人的邮件等等。</para>
+
+ <para>每个用户能够设置他们自己的环境, 以利于他们通过改变shell,
+ 编辑器, 键盘绑定和语言等适应并且更好的使用这个系统。</para>
+ </sect1>
+
+ <sect1 id="users-modifying">
+ <title>修改帐户</title>
+
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary>修改</secondary>
+ </indexterm>
+
+ <para>在&unix; 的处理用户帐户的环境中有很多不同的命令可用.
+ 最普通的命令如下, 接下来是详细使用它们的例子。</para>
+
+ <informaltable frame="none">
+ <tgroup cols="2">
+ <colspec colwidth="1*">
+ <colspec colwidth="2*">
+
+ <thead>
+ <row>
+ <entry>命令</entry>
+ <entry>摘要</entry>
+ </row>
+ </thead>
+ <tbody>
+ <row>
+ <entry>&man.adduser.8;</entry>
+ <entry>在命令行添加新用户.</entry>
+ </row>
+ <row>
+ <entry>&man.rmuser.8;</entry>
+ <entry>在命令行删除用户.</entry>
+ </row>
+ <row>
+ <entry>&man.chpass.1;</entry>
+ <entry>一个灵活的用于修改用户数据库信息的工具.</entry>
+ </row>
+ <row>
+ <entry>&man.passwd.1;</entry>
+ <entry>一个用于修改用户口令的简单的命令行工具.</entry>
+ </row>
+ <row>
+ <entry>&man.pw.8;</entry>
+ <entry>一个强大灵活修改用户帐户的工具.</entry>
+ </row>
+ </tbody>
+ </tgroup>
+ </informaltable>
+
+ <sect2 id="users-adduser">
+ <title><command>添加用户</command></title>
+
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary>添加</secondary>
+ </indexterm>
+ <indexterm>
+ <primary><command>添加用户</command></primary>
+ </indexterm>
+ <indexterm>
+ <primary><filename class=directory>/usr/share/skel</filename></primary>
+ </indexterm>
+ <indexterm><primary>skeleton directory</primary></indexterm>
+ <para>&man.adduser.8; 是一个简单的添加新用户的命令. 它为用户创建
+ <filename>passwd</filename> 和 <filename>group</filename>
+ 文件。 它也为新用户创建一个主目录, 它拷贝一个默认的配置文件
+ (<quote>dotfiles</quote>) 从 <filename>/usr/share/skel</filename>
+ 这个目录, 然后给新用户发送一封带欢迎信息的邮件。</para>
+
+ <para>在&os;&nbsp;5.0版本, &man.adduser.8;命令从Perl脚本改写为shell脚本,
+ 起包装&man.pw.8;的作用, 所以它的用法在 &os;&nbsp;4.X
+ 上和 &os;&nbsp;5.X 上略有不同。</para>
+
+ <para>建立初始化配置文件, 使用
+ <command>adduser -s -config_create</command>.
+ <footnote>
+ <para>选项<option>-s</option>&man.adduser.8;
+ 是。 当我们想要改变默认设置可以使用<option>-v</option>选项</para>
+ </footnote>
+ 接下来, 我们配置 &man.adduser.8; 的默认设置,
+ 并建立第一个普通用户帐户, 因为将
+ <username>root</username> 用于日常使用会带来很多潜在问题。</para>
+
+ <example>
+ <title>配置 <command>adduser</command> 和添加一个新用户,在&os;&nbsp;4.X版本</title>
+
+ <screen>&prompt.root; <userinput>adduser -v</userinput> Use option ``-silent'' if you don't want to see all warnings and questions.
+Check /etc/shells
+Check /etc/master.passwd
+Check /etc/group
+Enter your default shell: csh date no sh tcsh zsh [sh]: <userinput>zsh</userinput> Your default shell is: zsh -&gt; /usr/local/bin/zsh Enter your default HOME partition: [/home]:
+Copy dotfiles from: /usr/share/skel no [/usr/share/skel]:
+Send message from file: /etc/adduser.message no
+[/etc/adduser.message]: <userinput>no</userinput> Do not send message Use passwords (y/n) [y]: <userinput>y</userinput>
+
+Write your changes to /etc/adduser.conf? (y/n) [n]: <userinput>y</userinput>
+
+Ok, let's go.
+Don't worry about mistakes. I will give you the chance later to correct any input.
+Enter username [a-z0-9_-]: <userinput>jru</userinput> Enter full name []: <userinput>J. Random User</userinput> Enter shell csh date no sh tcsh zsh [zsh]:
+Enter home directory (full path) [/home/jru]:
+Uid [1001]:
+Enter login class: default []:
+Login group jru [jru]:
+Login group is ``jru''. Invite jru into other groups: guest no
+[no]: <userinput>wheel</userinput>
+Enter password []:
+Enter password again []:
+
+Name: jru
+Password: ****
+Fullname: J. Random User
+Uid: 1001
+Gid: 1001 (jru)
+Class:
+Groups: jru wheel
+HOME: /home/jru
+Shell: /usr/local/bin/zsh
+OK? (y/n) [y]: <userinput>y</userinput>
+Added user ``jru''
+Copy files from /usr/share/skel to /home/jru Add another user? (y/n) [y]: <userinput>n</userinput> Goodbye!
+&prompt.root;</screen>
+ </example>
+
+ <para>总体而言, 我们把默认的shell设置成
+ <application>zsh</application> (一个可以在 Ports Collection 找到的
+ shell), 关闭欢迎邮件。 然后保存配置,
+ 接着创建一个名为 <username>jru</username>的帐户,
+ 并且确信 <username>jru</username> 在
+ <username>wheel</username> 组里 (这样它就能够通过 &man.su.1;
+ 转变为 <username>root</username>。)</para>
+
+ <note>
+ <para>口令不会被回显, 也不会用星号来显示。
+ 两次输入的口令必须一致。
+ </para>
+ </note>
+
+ <note>
+ <para>从现在起, 使用 &man.adduser.8; 不再需要改变默认设置。
+ 如果您要求改变默认设置, 先退出程序,
+ 然后使用 <option>-s</option> 选项。</para>
+ </note>
+
+ <example>
+ <title>添加一个新用户在&os;&nbsp;5.X版本</title>
+
+ <screen>&prompt.root; <userinput>adduser</userinput>
+Username: <userinput>jru</userinput>
+Full name: <userinput>J. Random User</userinput> Uid (Leave empty for default):
+Login group [jru]:
+Login group is jru. Invite jru into other groups? []: <userinput>wheel</userinput> Login class [default]:
+Shell (sh csh tcsh zsh nologin) [sh]: <userinput>zsh</userinput> Home directory [/home/jru]:
+Use password-based authentication? [yes]:
+Use an empty password? (yes/no) [no]:
+Use a random password? (yes/no) [no]:
+Enter password:
+Enter password again:
+Lock out the account after creation? [no]:
+Username : jru
+Password : ****
+Full Name : J. Random User
+Uid : 1001
+Class :
+Groups : jru wheel
+Home : /home/jru
+Shell : /usr/local/bin/zsh
+Locked : no
+OK? (yes/no): <userinput>yes</userinput>
+adduser: INFO: Successfully added (jru) to the user database.
+Add another user? (yes/no): <userinput>no</userinput> Goodbye!
+&prompt.root;</screen>
+ </example>
+ </sect2>
+
+ <sect2 id="users-rmuser">
+ <title><command>删除用户</command></title>
+
+ <indexterm><primary><command>rmuser</command></primary></indexterm>
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary>删除</secondary>
+ </indexterm>
+
+ <para>您可以使用&man.rmuser.8; 从系统中完全删除一个用户.
+ &man.rmuser.8; 执行如下步骤:</para>
+
+ <procedure>
+ <step>
+ <para>删除用户的 &man.crontab.1; 记录 (如果有的话).</para>
+ </step>
+ <step>
+ <para>删除属于用户的&man.at.1; 工作.</para>
+ </step>
+ <step>
+ <para>杀掉属于用户的所有进程.</para>
+ </step>
+ <step>
+ <para>删除本地口令文件中的用户.</para>
+ </step>
+ <step>
+ <para>删除用户的主目录 (如果他有自己的主目录).</para>
+ </step>
+ <step>
+ <para>删除来自 <filename>/var/mail</filename>属于用户的邮件.</para>
+ </step>
+ <step>
+ <para>删除所有诸如 <filename>/tmp</filename>的临时文件存储区中的文件.</para>
+ </step>
+ <step>
+ <para>最后, 删除 <filename>/etc/group</filename>中所有属于组的该用户名.
+
+ <note>
+ <para>如果一个组变成空,而组名和用户名一样,组将被删除.
+ &man.adduser.8;命令建立每个用户唯一的组.</para>
+ </note>
+ </para>
+ </step>
+ </procedure>
+
+ <para>&man.rmuser.8; 不能用来删除超级用户的帐户, 因为那样做是对系统极大的破坏.</para>
+
+ <para>默认情况下, 使用交互模式, 这样能够让您清楚的知道您在做什么.</para>
+
+ <example>
+ <title><command>删除用户</command> 交互模式下的帐户删除</title>
+
+ <screen>&prompt.root; <userinput>rmuser jru</userinput> Matching password entry:
+jru:*:1001:1001::0:0:J. Random User:/home/jru:/usr/local/bin/zsh Is this the entry you wish to remove? <userinput>y</userinput> Remove user's home directory (/home/jru)? <userinput>y</userinput> Updating password file, updating databases, done.
+Updating group file: trusted (removing group jru -- personal group is empty) done.
+Removing user's incoming mail file /var/mail/jru: done.
+Removing files belonging to jru from /tmp: done.
+Removing files belonging to jru from /var/tmp: done.
+Removing files belonging to jru from /var/tmp/vi.recover: done.
+&prompt.root;</screen>
+ </example>
+ </sect2>
+
+ <sect2 id="users-chpass">
+ <title><command>chpass</command></title>
+
+ <indexterm><primary><command>chpass</command></primary></indexterm>
+ <para>&man.chpass.1; 可以改变用户的口令, shells, 和包括个人信息在内的数据库信息.</para>
+
+ <para>只有系统管理员, 既超级用户, 才可以用&man.chpass.1;改变其他用户口令和信息.</para>
+
+ <para>除了可选择的用户名,
+ 不需要任何选项, &man.chpass.1; 将显示一个包含用户信息的编辑器. 可以试图改变用户在数据库中的信息.</para>
+
+ <note>
+ <para>在 &os;&nbsp;5.X版本, 编辑退出后,您应该索要您的口令,如果您不是超级用户的话.</para>
+ </note>
+
+ <example>
+ <title>以超级用户交互执行 <command>chpass</command> 命令</title>
+
+ <screen>#Changing user database information for jru.
+Login: jru
+Password: *
+Uid [#]: 1001
+Gid [# or name]: 1001
+Change [month day year]:
+Expire [month day year]:
+Class:
+Home directory: /home/jru
+Shell: /usr/local/bin/zsh
+Full Name: J. Random User
+Office Location:
+Office Phone:
+Home Phone:
+Other information:</screen>
+ </example>
+
+ <para>普通用户只能改变他们自己很少的一部分信息.</para>
+
+ <example>
+ <title>以普通用户交互执行 <command>chpass</command> 命令</title>
+
+ <screen>#Changing user database information for jru.
+Shell: /usr/local/bin/zsh
+Full Name: J. Random User
+Office Location:
+Office Phone:
+Home Phone:
+Other information:</screen>
+ </example>
+
+ <note>
+ <para>&man.chfn.1; 和 &man.chsh.1; 只是到 &man.chpass.1; 的符号连接,
+ 类似地,
+ &man.ypchpass.1;, &man.ypchfn.1;
+ 以及 &man.ypchsh.1; 也是这样。
+ NIS 是自动支持的,
+ 不一定要在命令前指定 <literal>yp</literal>。
+ 如果这让您有点不太明白, 不必担心,
+ NIS 将在 <xref linkend="advanced-networking"> 介绍。</para>
+ </note>
+ </sect2>
+ <sect2 id="users-passwd">
+ <title><command>passwd命令</command></title>
+
+ <indexterm><primary><command>passwd命令</command></primary></indexterm>
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary>改变口令</secondary>
+ </indexterm>
+ <para>&man.passwd.1; 是改变您自己作为一个普通用户口令或者作为超级用户口令常用的方法.</para>
+
+ <note>
+ <para>用户改变口令前必须键入原来的口令, 防止用户离开终端时非授权的用户进入改变合法用户的口令。</para>
+ </note>
+
+ <example>
+ <title>改变您的口令</title>
+
+ <screen>&prompt.user; <userinput>passwd</userinput> Changing local password for jru.
+Old password:
+New password:
+Retype new password:
+passwd: updating the database...
+passwd: done</screen>
+ </example>
+
+ <example>
+ <title>改变其他用户的口令同超级用户的一样</title>
+
+ <screen>&prompt.root; <userinput>passwd jru</userinput> Changing local password for jru.
+New password:
+Retype new password:
+passwd: updating the database...
+passwd: done</screen>
+ </example>
+
+ <note>
+ <para>就象 &man.chpass.1;一样,
+ &man.yppasswd.1; 只是一个到
+ &man.passwd.1;的连接, 所以NIS用任何一个命令都可以正常工作.</para>
+ </note>
+ </sect2>
+
+
+ <sect2 id="users-pw">
+ <title><command>pw命令</command></title>
+ <indexterm><primary><command>pw命令</command></primary></indexterm>
+
+ <para>&man.pw.8; 是一个用来创建、删除、修改、显示用户和组的命令行工具。
+ 它还有系统用户和组文件编辑器的功能。 &man.pw.8;
+ 有一个非常强大的命令行选项设置,
+ 但新用户可能会觉得它比这里讲的其它命令要复杂很多。</para>
+ </sect2>
+
+
+ </sect1>
+
+ <sect1 id="users-limiting">
+ <title>限制用户使用系统资源</title>
+
+ <indexterm><primary>限制用户使用系统资源</primary></indexterm>
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary>限制</secondary>
+ </indexterm>
+ <para>如果您有一些用户, 并想要对他们所使用的系统资源加以限制,
+ FreeBSD 提供了一些系统管理员限制用户访问系统资源的方法。
+ 这些限制通常被分为两种: 磁盘配额, 以及其它资源限制。</para>
+
+ <indexterm><primary>配额</primary></indexterm>
+ <indexterm>
+ <primary>限制用户使用系统资源</primary>
+ <secondary>配额</secondary>
+ </indexterm>
+ <indexterm><primary>磁盘配额</primary></indexterm>
+ <para>磁盘配额限制用户对磁盘的使用,
+ 而且它还提供一种快速检查用户使用磁盘数量而不需要时刻计算的方法。
+ 配额将在 <xref
+ linkend="quotas">讨论.</para>
+
+ <para>其它资源限制包括CPU、 内存以及用户可能会使用的其它资源。
+ 这些是通过对登录进行分类完成的, 下面将做讨论。</para>
+
+ <indexterm>
+ <primary><filename>/etc/login.conf</filename></primary>
+ </indexterm>
+ <para>登录的类由 <filename>/etc/login.conf</filename> 文件定义。
+ 比较精确的描述超出了本章的范围, 但 &man.login.conf.5;
+ 联机手册会有比较详细的描述。 可以说每个用户都分配到一个登录类
+ (默认是 <literal>defalut</literal>),
+ 每个登录类都有一套和它相对应的功能。 登录功能是
+ <literal><replaceable>名字</replaceable>=<replaceable>值</replaceable></literal>
+ 这样的一对值, 其中<replaceable>名字</replaceable>
+ 是一个众所周知的标识符, <replaceable>值</replaceable>
+ 是一个根据名字经过处理得到的任意字符串。 设置登录类和功能相当简单,
+ 在 &man.login.conf.5; 联机手册会有比较详细的描述。</para>
+
+ <note>
+ <para>系统并不直接读取
+ <filename>/etc/login.conf</filename> 中的配置,
+ 相反, 它读取数据库文件
+ <filename>/etc/login.conf.db</filename>。
+ 为了从 <filename>/etc/login.conf</filename> 生成
+ <filename>/etc/login.conf.db</filename>,
+ 需要执行下面的命令:</para>
+
+ <screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen>
+ </note>
+
+ <para>资源限制与普通登录限制是有区别的。
+ 首先, 对于每种限制, 有软限制 (比较常见) 和硬限制之分。
+ 一个软限制可能被用户调整过, 但不会超过硬限制。
+ 越往后可能越低, 但不会升高。 其次,
+ 绝大多数资源限制会分配特定用户的每个进程, 而不是该用户的全部进程。
+ 注意, 这些区别是资源限制的特殊操作所规定的,
+ 不是登录功能框架的完成 (也就是说, 他们<emphasis>实际上</emphasis>
+ 不是一个登录功能的特例)。</para>
+
+ <para>不再罗嗦了, 下面是绝大多数资源限制的例子
+ (您可以在 &man.login.conf.5; 找到其它与登录功能相关的内容)。</para>
+
+ <variablelist>
+ <varlistentry>
+ <term><literal>coredumpsize</literal></term>
+
+ <listitem>
+ <indexterm><primary>coredumpsize</primary></indexterm>
+ <indexterm>
+ <primary>限制用户使用系统资源</primary>
+ <secondary>coredumpsize</secondary>
+ </indexterm>
+ <para>很明显, 由程序产生的核心文件大小的限制在磁盘使用上是属于其它限制的
+ (例如, <literal>文件大小</literal>, 磁盘配额)。
+ 不过, 由于用户自己无法产生核心文件, 而且通常并不删除它们,
+ 设置这个可以尽量避免由于一个大型应用程序的崩溃所造成的大量磁盘空间的浪费。
+ (例如, <application>emacs</application>) 崩溃。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term><literal>cputime</literal></term>
+
+ <listitem>
+ <indexterm><primary>cputime</primary></indexterm>
+ <indexterm>
+ <primary>限制用户使用系统资源</primary>
+ <secondary>cputime</secondary>
+ </indexterm>
+ <para>这是一个用户程序所能消耗掉的最大CPU时钟数量. 一些不理想的进程会被内核杀掉.
+
+ <note>
+ <para>这是一个有关CPU消耗的<emphasis>时钟</emphasis>
+ 限制, 不是&man.top.1; 和 &man.ps.1;
+ 命令时屏幕上显示的CPU消耗的百分比。 在写此说明时,
+ 后者的限制是是不太可能和没有价值的: 编译器 &mdash;
+ 编译一个可能是合法的工作 &mdash; 可以在某一时刻轻易的用掉
+ 100% 的 CPU。</para>
+ </note>
+ </para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term><literal>filesize</literal></term>
+
+ <listitem>
+ <indexterm><primary>filesize</primary></indexterm>
+ <indexterm>
+ <primary>限制用户使用系统资源</primary>
+ <secondary>filesize</secondary>
+ </indexterm>
+ <para>这是用户可以处理一个文件的最大值。
+ 不象 <link linkend="quotas">磁盘配额</link>,
+ 这个限制是对单个文件强制执行的,
+ 不是用户自己的所有文件。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term><literal>maxproc</literal></term>
+
+ <listitem>
+ <indexterm><primary>maxproc</primary></indexterm>
+ <indexterm>
+ <primary>限制用户使用系统资源</primary>
+ <secondary>maxproc</secondary>
+ </indexterm>
+ <para>这是一个用户可以运行的最大进程数。
+ 这包括前台和后台进程。 很明显, 这不可能比系统指定
+ <varname>kern.maxproc</varname> &man.sysctl.8;
+ 的限制要大。 同时也要注意, 设置的过小会妨碍用户的处理能力:
+ 可能需要多次登录或执行多个管道。 一些任务,
+ 例如编译一些大的程序, 也可能会产生很多进程
+ (例如, &man.make.1;, &man.cc.1; 以及其它一些预处理程序)。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term><literal>memorylocked</literal></term>
+
+ <listitem>
+ <indexterm><primary>memorylocked</primary></indexterm>
+ <indexterm>
+ <primary>限制用户使用系统资源</primary>
+ <secondary>memorylocked</secondary>
+ </indexterm>
+ <para>这是一个进程可能会被锁定到主存中的最大内存数量 (参见
+ &man.mlock.2;)。 大型程序,
+ 例如像 &man.amd.8; 在遇到问题时,
+ 它们得到的巨大交换量无法传递给系统进行处理。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term><literal>memoryuse</literal></term>
+
+ <listitem>
+ <indexterm><primary>memoryuse</primary></indexterm>
+ <indexterm>
+ <primary>限制用户使用系统资源</primary>
+ <secondary>memoryuse</secondary>
+ </indexterm>
+ <para>这是在给定时间内一个进程可能消耗的最大内存数量。
+ 它包括核心内存和交换内存。
+ 在限制内存消耗方面, 这不是一个完全的限制,但它是一个好的开始。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term><literal>openfiles</literal></term>
+
+ <listitem>
+ <indexterm><primary>openfiles</primary></indexterm>
+ <indexterm>
+ <primary>限制用户使用系统资源</primary>
+ <secondary>openfiles</secondary>
+ </indexterm>
+ <para>这是一个进程可以打开的最大文件数。 在FreeBSD中,
+ 文件可以被表现为套接字和IPC通道; 注意不要把这个数设置的太小。
+ 系统级的限制是由 <varname>kern.maxfiles</varname>
+ 定义的, 详情参见 &man.sysctl.8;。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term><literal>sbsize</literal></term>
+
+ <listitem>
+ <indexterm><primary>sbsize</primary></indexterm>
+ <indexterm>
+ <primary>限制用户使用系统资源</primary>
+ <secondary>sbsize</secondary>
+ </indexterm>
+ <para>这是网络内存数量的限制,
+ 这主要是针对通过创建许多套接字的老式 DoS 攻击的,
+ 但也可以用来限制网络通信。</para>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
+ <term><literal>stacksize</literal></term>
+
+ <listitem>
+ <indexterm><primary>stacksize</primary></indexterm>
+ <indexterm>
+ <primary>限制用户使用系统资源</primary>
+ <secondary>stacksize</secondary>
+ </indexterm>
+ <para>这是一个进程堆栈可能达到的最大值。
+ 它不能单独的限制一个程序可能使用的内存数量;
+ 所以, 需要与其它的限制手段配合使用。</para>
+ </listitem>
+ </varlistentry>
+ </variablelist>
+
+ <para>在设置资源限制时, 有一些其他的事需要注意。
+ 下面是一些通常的技巧、 建议和注意事项。</para>
+
+ <itemizedlist>
+ <listitem>
+ <para>系统启动的进程<filename>/etc/rc</filename>会被指派给
+ <literal>守护程序</literal> 的登录类.</para>
+ </listitem>
+
+ <listitem>
+ <para>虽然 <filename>/etc/login.conf</filename>
+ 文件是一个对绝大多数限制做合理配置的资源文件,
+ 但只有您也就是系统管理员,才知道什么最适合您的系统。
+ 设置的太高可能会因为过于开放而造成系统的被人滥用,
+ 设置的过低则会降低效率。</para>
+ </listitem>
+
+ <listitem>
+ <para>使用 X Window 的用户可能要比其他用户使用更多的资源。
+ 因为X11本身就使用很多资源, 而且它鼓励用户同时运行更多的程序。</para>
+ </listitem>
+
+ <listitem>
+ <para>要记得许多限制会被用于单个进程, 不是用户的所有进程。
+ 例如, 将 <varname>openfiles</varname> 设置为 50
+ 意味着每个用户进程最高只能打开 50 个文件。 然而,
+ 用户可以打开的文件的总的大小是根据
+ <literal>maxproc</literal>
+ 值逐步增加的
+ <literal>openfiles</literal> 值。
+ 同样的规则也适用于内存相关的限制。</para>
+ </listitem>
+ </itemizedlist>
+
+ <para>有关资源限制,登录类的更深入信息可以查看相关联机手册:
+ &man.cap.mkdb.1;, &man.getrlimit.2;, &man.login.conf.5;.</para>
+ </sect1>
+
+ <sect1 id="users-personalizing">
+ <title>个性化用户设置</title>
+
+ <para>本地化是由系统管理员或用户设置的的一个环境,
+ 它可以用来调整不同的语言、 字符设置、 时钟时区等等。
+ 这将在 <link linkend="l10n">本地化</link> 一章做详细讨论。</para>
+ </sect1>
+
+ <sect1 id="users-groups">
+ <title>组</title>
+
+ <indexterm><primary>组</primary></indexterm>
+ <indexterm>
+ <primary><filename>/etc/groups</filename></primary>
+ </indexterm>
+ <indexterm>
+ <primary>帐户</primary>
+ <secondary>组</secondary>
+ </indexterm>
+ <para>组简单的讲就是一个用户列表. 组通过组名和GID (组 ID) 来识别。
+ 在 FreeBSD (以及绝大多数其他 &unix; 系统) 中,
+ 内核用以决定一个进程是能够完成一项动作的两个因素是它所属的用户 ID
+ 和组 ID。 与用户 ID 不同, 每个进程都有一个和它相关联的组的列表。
+ 您可能听说过用户或进程的 <quote>组 ID</quote>;
+ 大多数情况下, 这表示列表中的第一个组。</para>
+
+ <para>与组ID对应的组名在<filename>/etc/group</filename>中。
+ 这是一个由冒号来界定的文本文件。 第一部分是组名,
+ 第二部分是加密后的口令, 第三部分是组ID,
+ 第四部分是以逗号相隔的成员列表。 它可以用手工方式进行编辑
+ (当然, 如果您能保证不出语法错误的话!)。
+ 对于更完整的语法描述, 参见 &man.group.5; 联机手册.</para>
+
+ <para>假如您想要手工编辑<filename>/etc/group</filename>,
+ 您可以使用 &man.pw.8; 添加和编辑组。 例如,
+ 要添加一个叫 <groupname>teamtwo</groupname> 的组,
+ 确定它存在:</para>
+
+ <example>
+ <title>使用&man.pw.8;添加一个组</title>
+
+ <screen>&prompt.root; <userinput>pw groupadd teamtwo</userinput> &prompt.root; <userinput>pw groupshow teamtwo</userinput> teamtwo:*:1100:</screen>
+ </example>
+
+ <para>上面的数字 <literal>1100</literal> 是组
+ <groupname>teamtwo</groupname> 的组 ID。
+ 目前, <groupname>teamtwo</groupname> 还没有成员,
+ 因此也就没有多大用处。
+ 接下来, 把 <username>jru</username> 加入到
+ <groupname>teamtwo</groupname> 组。</para>
+
+ <example>
+ <title>使用 &man.pw.8; 在组中添加用户</title>
+
+ <screen>&prompt.root; <userinput>pw groupmod teamtwo -M jru</userinput> &prompt.root; <userinput>pw groupshow teamtwo</userinput> teamtwo:*:1100:jru</screen>
+ </example>
+
+ <para><option>-M</option> 所需的参数是一个用逗号分隔的组中用户成员的列表。
+ 在前面我们已经每个用户在口令文件中也包含了一个组。
+ 之后用户被自动地添加到组列表里; 当我们使用
+ <option>groupshow</option> 命令时 &man.pw.8; 用户列表不被显示出来。
+ 但当通过 &man.id.1; 或者类似工具查看时,
+ 就会看到用户列表。 换言之, &man.pw.8; 命令只能读取
+ <filename>/etc/group</filename> 文件; 它从不尝试从
+ <filename>/etc/passwd</filename> 文件读取更多信息。</para>
+
+ <example>
+ <title>使用&man.id.1;来决定组成员</title>
+
+ <screen>&prompt.user; <userinput>id jru</userinput>
+uid=1001(jru) gid=1001(jru) groups=1001(jru), 1100(teamtwo)</screen>
+ </example>
+
+ <para>正如您所看到的, <username>jru</username> 是组 <groupname>jru</groupname> 和组
+ <groupname>teamtwo</groupname>的成员.</para>
+
+ <para>有关&man.pw.8;的更多信息, 请参看其它联机手册。
+ 更多的关于 <filename>/etc/group</filename> 文件格式的信息,
+ 请参考 &man.group.5; 联机手册。</para>
+ </sect1>
+</chapter>
+
+<!--
+ Local Variables:
+ mode: sgml
+ sgml-declaration: "../chapter.decl"
+ sgml-indent-data: t
+ sgml-omittag: nil
+ sgml-always-quote-attributes: t
+ sgml-parent-document: ("../book.sgml" "part" "chapter")
+ End:
+-->
generated by cgit v1.2.3 (git 2.25.1) at 2025-05-12 07:38:23 +0000