<?xml version="1.0" encoding="iso-8859-1" standalone="no"?>
<!--
The FreeBSD Documentation Project
The FreeBSD German Documentation Project
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/users/chapter.sgml,v 1.47 2012/04/30 16:19:09 bcr Exp $
basiert auf: 1.63
-->
<chapter id="users">
<chapterinfo>
<authorgroup>
<author>
<firstname>Neil</firstname>
<surname>Blakey-Milner</surname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
<!-- Feb 2000 -->
<authorgroup>
<author>
<firstname>Robert</firstname>
<surname>Drehmel</surname>
<contrib>Übersetzt von </contrib>
</author>
</authorgroup>
<!-- Jul 2000 -->
</chapterinfo>
<title>Benutzer und grundlegende Account-Verwaltung</title>
<sect1 id="users-synopsis">
<title>Übersicht</title>
<para>Einen FreeBSD-Computer können mehrere Benutzer zur selben
Zeit benutzen, allerdings kann immer nur einer vor der Konsole sitzen
<footnote>
<para>Außer Sie verwenden, wie in <xref
linkend="serialcomms"/> besprochen, zusätzliche Terminals</para>
</footnote>, über das Netzwerk können beliebig viele
Benutzer angemeldet sein. Jeder Benutzer muss einen Account
haben, um das System benutzen zu können.</para>
<para>Nachdem Sie dieses Kapitel gelesen haben, werden Sie</para>
<itemizedlist>
<listitem>
<para>die verschiedenen Account-Typen von FreeBSD kennen,</para>
</listitem>
<listitem>
<para>wissen, wie Accounts angelegt werden,</para>
</listitem>
<listitem>
<para>wissen, wie Sie Accounts löschen,</para>
</listitem>
<listitem>
<para>wie Sie Attribute eines Accounts, wie den Loginnamen oder
die Login-Shell ändern,</para>
</listitem>
<listitem>
<para>wissen, wie Sie Limits für einen Account setzen, um
beispielsweise Ressourcen, wie Speicher oder CPU-Zeit,
einzuschränken,</para>
</listitem>
<listitem>
<para>wie Sie mit Gruppen die Verwaltung der Accounts
vereinfachen.</para>
</listitem>
</itemizedlist>
<para>Vor dem Lesen dieses Kapitels sollten Sie</para>
<itemizedlist>
<listitem>
<para>die Grundlagen von &unix; und FreeBSD (<xref linkend="basics"/>)
verstanden haben.</para>
</listitem>
</itemizedlist>
</sect1>
<sect1 id="users-introduction">
<title>Einführung</title>
<para>Jeder Zugriff auf das System geschieht über Accounts und alle
Prozesse werden von Benutzern gestartet, also sind Benutzer- und
Account-Verwaltung von wesentlicher Bedeutung in FreeBSD-Systemen.</para>
<para>Mit jedem Account eines FreeBSD-Systems sind bestimmte Informationen
verknüpft, die diesen Account identifizieren.</para>
<variablelist>
<varlistentry>
<term>Loginnamen</term>
<listitem>
<para>Den Loginnamen geben Sie bei der Anmeldung ein, wenn Sie
dazu mit <prompt>login:</prompt> aufgefordert werden.
Loginnamen müssen auf dem System eindeutig sein, das
heißt auf einem System kann es nicht zwei Accounts mit
demselben Loginnamen geben. In &man.passwd.5; wird
beschrieben, wie ein gültiger Loginname gebildet wird.
Normalerweise sollten Sie Namen verwenden, die aus
Kleinbuchstaben bestehen und bis zu acht Zeichen lang sind.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Passwort</term>
<listitem>
<para>Mit jedem Account ist ein Passwort verknüpft. Wenn
das Passwort leer ist, wird es bei der Anmeldung nicht
abgefragt. Das ist allerdings nicht zu empfehlen, daher sollte
jeder Account ein Passwort besitzen.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>User ID (UID)</term>
<listitem>
<para>Die UID ist üblicherweise eine Zahl zwischen
0 und 65535<footnote id="users-largeuidgid">
<para>Für UIDs und GIDs können Zahlen bis
einschließlich 4294967295 verwendet werden.
Allerdings können solche IDs erhebliche
Probleme mit Anwendungen verursachen, die
Annahmen über den Wertebereich der IDs
treffen.</para>
</footnote>, die einen
Account eindeutig identifiziert. Intern verwendet FreeBSD nur
die UID, Loginnamen werden zuerst in eine UID umgewandelt,
mit der das System dann weiter arbeitet. Das bedeutet, dass
Sie Accounts mit unterschiedlichen Loginnamen aber gleicher
UID einrichten können. Vom Standpunkt des Systems handelt
es sich dabei um denselben Account. In der Praxis werden Sie
diese Eigenschaft des Systems wahrscheinlich nicht
benutzen.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Group ID (GID)</term>
<listitem>
<para>Die GID ist üblicherweise eine Zahl zwischen 0 und
65536<footnoteref linkend="users-largeuidgid"/>, die eine Gruppe
eindeutig identifiziert. Mit Gruppen kann der Zugriff auf
Ressourcen über die GID anstelle der UID geregelt werden.
Einige Konfigurationsdateien werden durch diesen Mechanismus
deutlich kleiner. Ein Account kann mehreren Gruppen
zugehören.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Login-Klasse</term>
<listitem>
<para>Login-Klassen erweitern das Gruppenkonzept. Sie
erhöhen die Flexibilität des Systems in der Handhabung
der verschiedenen Accounts.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Gültigkeit von Passwörtern</term>
<listitem>
<para>Ein regelmäßiges Ändern des Passworts wird in
der Voreinstellung von FreeBSD nicht erzwungen. Sie
können allerdings einen Passwortwechsel nach einer
gewissen Zeit auf Basis einzelner Accounts erzwingen.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Verfallszeit eines Accounts</term>
<listitem>
<para>In der Voreinstellung verfallen unter FreeBSD keine
Accounts. Wenn Sie Accounts einrichten, die nur für eine
bestimmte Zeit gültig sein sollen, beispielsweise Accounts
für Teilnehmer eines Praktikums, können Sie angeben,
wie lange der Account gültig sein soll. Nachdem die
angegebene Zeitspanne verstrichen ist, kann dieser Account
nicht mehr zum Anmelden verwendet werden, obwohl alle
Verzeichnisse und Dateien, die diesem Account gehören,
noch vorhanden sind.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>vollständiger Benutzername</term>
<listitem>
<para>FreeBSD identifiziert einen Account eindeutig über
den Loginnamen, der aber keine Ähnlichkeit mit dem
richtigen Namen des Benutzers haben muss. Der
vollständige Benutzername kann daher beim Einrichten eines
Accounts angegeben werden.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Heimatverzeichnis</term>
<listitem>
<para>Das Heimatverzeichnis gibt den vollständigen Pfad zu
dem Verzeichnis an, in dem sich der Benutzer nach erfolgreicher
Anmeldung befindet. Es ist üblich, alle
Heimatverzeichnisse unter
<filename>/home/<replaceable>Loginname</replaceable></filename>
oder
<filename>/usr/home/<replaceable>Loginname</replaceable></filename>
anzulegen. Im Heimatverzeichnis oder in dort angelegten
Verzeichnissen werden die Dateien eines Benutzers
gespeichert.</para>
</listitem>
</varlistentry>
<varlistentry>
<term>Login-Shell</term>
<listitem>
<para>Grundsätzlich ist die Schnittstelle zum System eine
Shell, von denen es viele unterschiedliche gibt. Die
bevorzugte Shell eines Benutzers kann seinem Account zugeordnet
werden.</para>
</listitem>
</varlistentry>
</variablelist>
<para>Es gibt drei Haupttypen von Accounts: Der
<link linkend="users-superuser">Superuser</link>,
<link linkend="users-system">Systembenutzer</link> und
<link linkend="users-user">Benutzer-Accounts</link>. Der
Superuser-Account, normalerweise <username>root</username> genannt, wird
benutzt, um das System ohne Beschränkungen auf Privilegien zu
verwalten. Systembenutzer starten Dienste. Abschließend werden
Benutzer-Accounts von echten Menschen genutzt, die sich einloggen, Mails
lesen und so weiter.</para>
</sect1>
<sect1 id="users-superuser">
<title>Der Superuser-Account</title>
<indexterm>
<primary>Accounts</primary>
<secondary>Superuser (root)</secondary>
</indexterm>
<para>Der Superuser-Account, normalerweise <username>root</username>
genannt, ist vorkonfiguriert und erleichtert die Systemverwaltung, sollte
aber nicht für alltägliche Aufgaben wie das Verschicken und
Empfangen von Mails, Entdecken des Systems oder Programmierung benutzt
werden.</para>
<para>Das ist so, da der Superuser im Gegensatz zu normalen
Benutzer-Accounts ohne Beschränkungen operiert und falsche
Anwendung des Superuser-Accounts in spektakulären Katastrophen
resultieren kann. Benutzer-Accounts sind nicht in der Lage, das System
versehentlich zu zerstören, deswegen ist es generell am besten
normale Benutzer-Accounts zu verwenden, solange man nicht
hauptsächlich die extra Privilegien benötigt.</para>
<para>Kommandos, die Sie als Superuser eingeben, sollten Sie immer
doppelt und dreifach überprüfen, da ein
zusätzliches Leerzeichen oder ein fehlender Buchstabe irreparablen
Datenverlust bedeuten kann.</para>
<para>Das erste, das Sie tun sollten, nachdem Sie dieses Kapitel gelesen
haben, ist einen unprivilegierten Benutzer für Ihre eigene normale
Benutzung zu erstellen, wenn Sie das nicht bereits getan haben. Das
trifft immer zu, egal ob Sie ein Mehrbenutzersystem oder ein System
laufen haben, welches Sie alleine benutzen. Später in diesem
Kapitel besprechen wir, wie man zusätzliche Accounts erstellt und
wie man zwischen dem normalen Benutzer und dem Superuser wechselt.</para>
</sect1>
<sect1 id="users-system">
<title>System-Accounts</title>
<indexterm>
<primary>Accounts</primary>
<secondary>System-Accounts</secondary>
</indexterm>
<para>Systembenutzer starten Dienste wie DNS, Mail-Server, Web-Server und so
weiter. Der Grund dafür ist die Sicherheit; wenn die Programme
von dem Superuser gestartet werden, können Sie ohne
Einschränkungen handeln.</para>
<indexterm>
<primary>Accounts</primary>
<secondary><username>daemon</username></secondary>
</indexterm>
<indexterm>
<primary>Accounts</primary>
<secondary><username>operator</username></secondary>
</indexterm>
<para>Beispiele von Systembenutzern sind <username>daemon</username>,
<username>operator</username>, <username>bind</username> (für den
Domain Name Service) und <username>news</username> und
<username>www</username>.</para>
<indexterm>
<primary>Accounts</primary>
<secondary><username>nobody</username></secondary>
</indexterm>
<para><username>nobody</username> ist der generische unprivilegierte
Systembenutzer. Bedenken Sie aber, dass je mehr Dienste
<username>nobody</username> benutzen, desto mehr Dateien und Prozesse
diesem Benutzer gehören und dieser Benutzer damit umso
privilegierter wird.</para>
</sect1>
<sect1 id="users-user">
<title>Benutzer-Accounts</title>
<indexterm>
<primary>Accounts</primary>
<secondary>Benutzer-Accounts</secondary>
</indexterm>
<para>Benutzer-Accounts sind das primäre Mittel des Zugriffs für
Menschen auf das System und isolieren Benutzer und Umgebung,
schützen die Benutzer davor, das System oder Daten anderer Benutzer
zu beschädigen und erlauben Benutzern ihre Umgebung selbst
einzurichten, ohne das sich dies auf andere auswirkt.</para>
<para>Jede Person, die auf Ihr System zugreift, sollte ihren eigenen
Account besitzen. Das erlaubt Ihnen herauszufinden, wer was macht
und hält Leute davon ab, die Einstellungen der anderen zu
verändern oder Mails zu lesen, die nicht für sie bestimmt
waren.</para>
<para>Jeder Benutzer kann sich eine eigene Umgebung mit alternativen
Shells, Editoren, Tastaturbelegungen und Sprachen einrichten.</para>
</sect1>
<sect1 id="users-modifying">
<title>Accounts verändern</title>
<indexterm>
<primary>Accounts</primary>
<secondary>verändern</secondary>
</indexterm>
<para>Unter &unix; gibt es verschiedene Kommandos, um Accounts zu
verändern. Die gebräuchlichsten Kommandos sind unten,
gefolgt von einer detaillierten Beschreibung, zusammengefasst.</para>
<informaltable frame="none" pgwide="1">
<tgroup cols="2">
<thead>
<row>
<entry>Kommando</entry>
<entry>Zusammenfassung</entry>
</row>
</thead>
<tbody>
<row>
<entry>&man.adduser.8;</entry>
<entry>Das empfohlene Werkzeug, um neue Accounts zu
erstellen.</entry>
</row>
<row>
<entry>&man.rmuser.8;</entry>
<entry>Das empfohlene Werkzeug, um Accounts zu
löschen.</entry>
</row>
<row>
<entry>&man.chpass.1;</entry>
<entry>Ein flexibles Werkzeug, um Informationen in der
Account-Datenbank zu verändern.</entry>
</row>
<row>
<entry>&man.passwd.1;</entry>
<entry>Ein einfaches Werkzeug, um Passwörter von Accounts
zu ändern.</entry>
</row>
<row>
<entry>&man.pw.8;</entry>
<entry>Ein mächtiges und flexibles Werkzeug um alle
Informationen über Accounts zu ändern.</entry>
</row>
</tbody>
</tgroup>
</informaltable>
<sect2 id="users-adduser">
<title><command>adduser</command></title>
<indexterm>
<primary>Accounts</primary>
<secondary>erstellen</secondary>
</indexterm>
<indexterm>
<primary><command>adduser</command></primary>
</indexterm>
<indexterm>
<primary><filename class="directory">/usr/share/skel</filename></primary>
</indexterm>
<para>&man.adduser.8; ist ein einfaches Programm
um neue Benutzer hinzuzufügen. Es erstellt
<filename>passwd</filename> und <filename>group</filename>
Einträge für den
Benutzer, genauso wie ein home Verzeichnis, kopiert ein paar
vorgegebene Dotfiles aus <filename>/usr/share/skel</filename> und kann
optional dem Benutzer eine ,,Willkommen``-Nachricht zuschicken.</para>
<example>
<title>Einen Benutzer unter &os; anlegen</title>
<screen>&prompt.root; <userinput>adduser</userinput>
Username: <userinput>jru</userinput>
Full name: <userinput>J. Random User</userinput>
Uid (Leave empty for default):
Login group [jru]:
Login group is jru. Invite jru into other groups? []: <userinput>wheel</userinput>
Login class [default]:
Shell (sh csh tcsh zsh nologin) [sh]: <userinput>zsh</userinput>
Home directory [/home/jru]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username : jru
Password : ****
Full Name : J. Random User
Uid : 1001
Class :
Groups : jru wheel
Home : /home/jru
Shell : /usr/local/bin/zsh
Locked : no
OK? (yes/no): <userinput>yes</userinput>
adduser: INFO: Successfully added (jru) to the user database.
Add another user? (yes/no): <userinput>no</userinput>
Goodbye!
&prompt.root;</screen>
</example>
<note>
<para>Wenn Sie das Passwort eingeben, werden weder Passwort noch
Sternchen angezeigt. Passen Sie auf, dass Sie das Passwort
korrekt eingeben.</para>
</note>
</sect2>
<sect2 id="users-rmuser">
<title><command>rmuser</command></title>
<indexterm><primary><command>rmuser</command></primary></indexterm>
<indexterm>
<primary>Accounts</primary>
<secondary>löschen</secondary>
</indexterm>
<para>Benutzen Sie &man.rmuser.8;, um einen Account
vollständig aus dem System zu entfernen.
&man.rmuser.8; führt die folgenden Schritte
durch:</para>
<procedure>
<step>
<para>Entfernt den &man.crontab.1; Eintrag des Benutzers
(wenn dieser existiert).</para>
</step>
<step>
<para>Entfernt alle &man.at.1; jobs, die dem Benutzer gehören.
</para>
</step>
<step>
<para>Schließt alle Prozesse des Benutzers.</para>
</step>
<step>
<para>Entfernt den Benutzer aus der lokalen Passwort-Datei des
Systems.</para>
</step>
<step>
<para>Entfernt das Heimatverzeichnis des Benutzers (falls es dem
Benutzer gehört).</para>
</step>
<step>
<para>Entfernt eingegangene E-Mails des Benutzers
aus <filename>/var/mail</filename>.</para>
</step>
<step>
<para>Entfernt alle Dateien des Benutzers aus temporären
Dateispeicherbereichen wie <filename>/tmp</filename>.</para>
</step>
<step>
<para>Entfernt den Loginnamen von allen Gruppen, zu denen er
gehört, aus <filename>/etc/group</filename>.</para>
<note>
<para>Wenn eine Gruppe leer wird und der Gruppenname mit dem
Loginnamen identisch ist, wird die Gruppe entfernt; das
ergänzt sich mit den einzelnen Benutzer-Gruppen, die von
&man.adduser.8; für jeden neuen Benutzer erstellt werden.
</para>
</note>
</step>
</procedure>
<para>Der Superuser-Account kann nicht mit &man.rmuser.8; entfernt
werden, da dies in den meisten Fällen das System unbrauchbar
macht.</para>
<para>Als Vorgabe wird ein interaktiver Modus benutzt, der
sicherzustellen versucht, dass Sie wissen, was Sie tun.</para>
<example>
<title>Interaktives Löschen von Account mit
<command>rmuser</command></title>
<screen>&prompt.root; <userinput>rmuser jru</userinput>
Matching password entry:
jru:*:1001:1001::0:0:J. Random User:/home/jru:/usr/local/bin/zsh
Is this the entry you wish to remove? <userinput>y</userinput>
Remove user's home directory (/home/jru)? <userinput>y</userinput>
Updating password file, updating databases, done.
Updating group file: trusted (removing group jru -- personal group is empty) done.
Removing user's incoming mail file /var/mail/jru: done.
Removing files belonging to jru from /tmp: done.
Removing files belonging to jru from /var/tmp: done.
Removing files belonging to jru from /var/tmp/vi.recover: done.
&prompt.root;</screen>
</example>
</sect2>
<sect2 id="users-chpass">
<title><command>chpass</command></title>
<indexterm><primary><command>chpass</command></primary></indexterm>
<para>&man.chpass.1; ändert Informationen der
Benutzerdatenbank wie Passwörter, Shells und persönliche
Informationen.</para>
<para>Nur Systemadministratoren, mit Superuser-Rechten, können die
Informationen und Passwörter der anderen Benutzer mit
&man.chpass.1; verändern.</para>
<para>Werden keine Optionen neben dem optionalen Loginnamen
angegeben, zeigt &man.chpass.1; einen Editor
mit Account-Informationen an und aktualisiert die
Account-Datenbank, wenn dieser verlassen wird.</para>
<note>
<para>Unter &os; wird nach dem Verlassen des Editors
nach dem Passwort gefragt, es sei denn, man ist als Superuser
angemeldet.</para>
</note>
<example>
<title>Interaktives <command>chpass</command> des Superusers</title>
<screen>#Changing user database information for jru.
Login: jru
Password: *
Uid [#]: 1001
Gid [# or name]: 1001
Change [month day year]:
Expire [month day year]:
Class:
Home directory: /home/jru
Shell: /usr/local/bin/zsh
Full Name: J. Random User
Office Location:
Office Phone:
Home Phone:
Other information:</screen>
</example>
<para>Der normale Benutzer kann nur einen kleinen Teil dieser
Informationen verändern und natürlich nur die Daten des
eigenen Accounts.</para>
<example>
<title>Interaktives <command>chpass</command> eines normalen
Benutzers</title>
<screen>#Changing user database information for jru.
Shell: /usr/local/bin/tcsh
Full Name: J. Random User
Office Location:
Office Phone:
Home Phone:
Other information:</screen>
</example>
<note>
<para>&man.chfn.1; und &man.chsh.1; sind
nur Verweise auf &man.chpass.1; genauso wie
&man.ypchpass.1;, &man.ypchfn.1; und
&man.ypchsh.1;. NIS wird automatisch unterstützt,
deswegen ist es nicht notwendig das <literal>yp</literal> vor dem
Kommando einzugeben. NIS wird später
in <xref linkend="network-servers"/> besprochen.</para>
</note>
</sect2>
<sect2 id="users-passwd">
<title><application>passwd</application></title>
<indexterm><primary><command>passwd</command></primary></indexterm>
<indexterm>
<primary>Accounts</primary>
<secondary>Passwort wechseln</secondary>
</indexterm>
<para>&man.passwd.1; ist der übliche Weg, Ihr
eigenes Passwort als Benutzer zu ändern oder das Passwort eines
anderen Benutzers als Superuser.</para>
<note>
<para>Um unberechtigte Änderungen zu verhindern,
muss bei einem Passwortwechsel zuerst das ursprüngliche
Passwort eingegeben werden.</para>
</note>
<example>
<title>Wechseln des Passworts</title>
<screen>&prompt.user; <userinput>passwd</userinput>
Changing local password for jru.
Old password:
New password:
Retype new password:
passwd: updating the database...
passwd: done
&prompt.root; <userinput>passwd jru</userinput>
Changing local password for jru.
New password:
Retype new password:
passwd: updating the database...
passwd: done</screen>
</example>
<example>
<title>Als Superuser das Passwort eines anderen Accounts
verändern</title>
<screen>&prompt.root; <userinput>passwd jru</userinput>
Changing local password for jru.
New password:
Retype new password:
passwd: updating the database...
passwd: done</screen>
</example>
<note>
<para>Wie bei &man.chpass.1; ist &man.yppasswd.1;
nur ein Verweis auf &man.passwd.1;. NIS wird von
jedem dieser Kommandos unterstützt.</para>
</note>
</sect2>
<sect2 id="users-pw">
<title><command>pw</command></title>
<indexterm><primary><command>pw</command></primary></indexterm>
<para>&man.pw.8; ist ein Kommandozeilenprogramm, mit
dem man Accounts und Gruppen erstellen, entfernen, verändern
und anzeigen kann. Dieses Kommando dient als Schnittstelle zu den
Benutzer- und Gruppendateien des Systems. &man.pw.8;
besitzt eine Reihe mächtiger Kommandozeilenschalter, die es
für die Benutzung in Shell-Skripten geeignet machen, doch
finden neue Benutzer die Bedienung des Kommandos komplizierter, als
die der anderen hier vorgestellten Kommandos.</para>
</sect2>
</sect1>
<sect1 id="users-limiting">
<title>Benutzer einschränken</title>
<indexterm><primary>Benutzer einschränken</primary></indexterm>
<indexterm>
<primary>Accounts</primary>
<secondary>einschränken</secondary>
</indexterm>
<para>Wenn ein System von mehreren Benutzern verwendet wird, ist es
vielleicht notwendig, den Gebrauch des Systems zu beschränken.
FreeBSD bietet dem Systemadministrator mehrere Möglichkeiten
die System-Ressourcen, die ein einzelner Benutzer verwenden kann,
einzuschränken. Diese Limitierungen sind in zwei Kategorien
eingeteilt: Festplattenkontingente und andere
Ressourcenbeschränkungen.</para>
<indexterm><primary>Quotas</primary></indexterm>
<indexterm>
<primary>Benutzer einschränken</primary>
<secondary>Quotas</secondary>
</indexterm>
<indexterm><primary>Festplatten Quotas</primary></indexterm>
<para>Festplatten-Kontingente schränken den Plattenplatz, der
einem Benutzer zur Verfügung steht, ein. Sie bieten zudem,
ohne aufwändige Berechnung, einen schnellen Überblick
über den verbrauchten Plattenplatz.
Kontingente werden in <xref linkend="quotas"/> diskutiert.</para>
<indexterm>
<primary><filename>/etc/login.conf</filename></primary>
</indexterm>
<para>Die Login-Klassen werden in <filename>/etc/login.conf</filename>
definiert. Auf die präzisen Semantiken gehen wir hier nicht
weiter ein, sie können jedoch in &man.login.conf.5;
nachgelesen werden. Es ist ausreichend zu sagen, dass jeder
Benutzer einer Login-Klasse zugewiesen wird (standardmäßig
<literal>default</literal>) und dass jede Login-Klasse mit einem Satz
von Login-Fähigkeiten verbunden ist. Eine Login-Fähigkeit
ist ein <literal><replaceable>Name</replaceable>=<replaceable>Wert
</replaceable></literal> Paar, in dem <replaceable>Name</replaceable>
die Fähigkeit bezeichnet und <replaceable>Wert</replaceable>
ein willkürlicher Text ist, der je nach <replaceable>Name
</replaceable> entsprechend verarbeitet wird. Login-Klassen und
-Fähigkeiten zu definieren, ist fast schon selbsterklärend
und wird auch in &man.login.conf.5; beschrieben.</para>
<note>
<para>Das System verwendet die Datei
<filename>/etc/login.conf</filename> normalerweise nicht direkt,
sondern nur über die Datenbank
<filename>/etc/login.conf.db</filename>, da diese eine
schnellere Abfrage erlaubt. Der nachstehende Befehl erzeugt die
Datenbank <filename>/etc/login.conf.db</filename> aus der Datei
<filename>/etc/login.conf</filename>:</para>
<screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen>
</note>
<para>Ressourcenbeschränkungen unterscheiden sich von normalen
Login-Fähigkeiten zweifach. Erstens gibt es für jede
Beschränkung ein aktuelles und ein maximales Limit. Das
aktuelle Limit kann vom Benutzer oder einer Anwendung beliebig
bis zum maximalen Limit verändert werden. Letzteres kann
der Benutzer nur heruntersetzen. Zweitens gelten die meisten
Ressourcenbeschränkungen für jeden vom Benutzer
gestarteten Prozess, nicht für den Benutzer selbst.
Beachten Sie jedoch, dass diese Unterschiede durch das spezifische
Einlesen der Limits und nicht durch das System der
Login-Fähigkeiten entstehen (das heißt,
Ressourcenbeschränkungen sind <emphasis>keine</emphasis>
Login-Fähigkeiten).</para>
<para>Hier befinden sich die am häufigsten benutzten
Ressourcenbeschränkungen (der Rest kann zusammen mit den
anderen Login-Fähigkeiten in &man.login.conf.5; gefunden
werden):</para>
<variablelist>
<varlistentry>
<term><literal>coredumpsize</literal></term>
<listitem>
<indexterm><primary>coredumpsize</primary></indexterm>
<indexterm>
<primary>Benutzer einschränken</primary>
<secondary>coredumpsize</secondary>
</indexterm>
<para>Das Limit der Größe einer core-Datei, die
von einem Programm generiert wird, unterliegt aus
offensichtlichen Gründen anderen Limits der
Festplattenbenutzung (zum Beispiel <literal>filesize</literal>
oder Festplattenkontingenten). Es wird aber trotzdem
oft als weniger harte Methode zur Kontrolle des
Festplattenplatz-Verbrauchs verwendet: Da Benutzer die
core-Dateien nicht selbst erstellen, und sie oft nicht
löschen, kann sie diese Option davor retten, dass
ihnen kein Festplattenspeicher mehr zur Verfügung
steht, sollte ein großes Programm, wie
<application>emacs</application>, abstürzen.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>cputime</literal></term>
<listitem>
<indexterm><primary>cputime</primary></indexterm>
<indexterm>
<primary>Benutzer einschränken</primary>
<secondary>cputime</secondary>
</indexterm>
<para>Die maximale Rechenzeit, die ein Prozess eines Benutzers
verbrauchen darf. Überschreitet der Prozess diesen Wert,
wird er vom Kernel beendet.</para>
<note>
<para>Die Rechen<emphasis>zeit</emphasis> wird limitiert,
nicht die prozentuale Prozessorenbenutzung, wie es in
einigen Feldern in &man.top.1; und &man.ps.1; dargestellt
wird. Letzteres war zu der Zeit, als dies hier geschrieben
wurde nicht möglich und würde eher nutzlos sein:
Ein Compiler – ein wahrscheinlich legitimer
Vorgang – kann leicht fast 100% des Prozessors in
Anspruch nehmen.</para>
</note>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>filesize</literal></term>
<listitem>
<indexterm><primary>filesize</primary></indexterm>
<indexterm>
<primary>Benutzer einschränken</primary>
<secondary>filesize</secondary>
</indexterm>
<para>Hiermit lässt sich die maximale Größe einer Datei
bestimmen, die der Benutzer besitzen darf. Im Gegensatz zu
<link linkend="quotas">Festplattenkontingenten</link> ist diese
Beschränkung nur für jede einzelne Datei gültig
und nicht für den Platz, den alle Dateien eines Benutzers
verwenden.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>maxproc</literal></term>
<listitem>
<indexterm><primary>maxproc</primary></indexterm>
<indexterm>
<primary>Benutzer einschränken</primary>
<secondary>maxproc</secondary>
</indexterm>
<para>Das ist die maximale Anzahl von Prozessen, die ein
Benutzer starten darf, und beinhaltet sowohl Vordergrund-
als auch Hintergrundprozesse. Natürlich darf dieser
Wert nicht höher sein als das System-Limit, das in
<varname>kern.maxproc</varname> angegeben ist. Vergessen
Sie auch nicht, dass ein zu kleiner Wert den Benutzer in
seiner Produktivität einschränken könnte;
es ist oft nützlich, mehrfach eingeloggt zu sein, oder
<foreignphrase>Pipelines</foreignphrase>
<footnote>
<para><foreignphrase>Pipeline</foreignphrase> =
<emphasis>Leitung</emphasis>.
Mit <foreignphrase>Pipes</foreignphrase> sind Verbindungen
zwischen zwei Sockets in meistens zwei verschiedenen
Prozessen gemeint.</para>
</footnote>
zu verwenden. Ein paar Aufgaben, wie die Kompilierung eines
großen Programms, starten mehrere Prozesse (zum Beispiel
&man.make.1;, &man.cc.1; und andere).</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>memorylocked</literal></term>
<listitem>
<indexterm><primary>memorylocked</primary></indexterm>
<indexterm>
<primary>Benutzer einschränken</primary>
<secondary>memorylocked</secondary>
</indexterm>
<para>Dieses Limit gibt an, wie viel virtueller Speicher von einem
Prozess maximal im Arbeitsspeicher festgesetzt werden kann.
(siehe auch &man.mlock.2;). Ein paar systemkritische Programme,
wie &man.amd.8;, verhindern damit einen Systemzusammenbruch, der
auftreten könnte, wenn sie aus dem Speicher genommen werden.
</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>memoryuse</literal></term>
<listitem>
<indexterm><primary>memoryuse</primary></indexterm>
<indexterm>
<primary>Benutzer einschränken</primary>
<secondary>memoryuse</secondary>
</indexterm>
<para>Bezeichnet den maximalen Speicher, den ein Prozess benutzen
darf und beinhaltet sowohl Arbeitsspeicher-, als auch Swap-
Benutzung. Es ist kein allübergreifendes Limit für
den Speicherverbrauch, aber ein guter Anfang.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>openfiles</literal></term>
<listitem>
<indexterm><primary>openfiles</primary></indexterm>
<indexterm>
<primary>Benutzer einschränken</primary>
<secondary>openfiles</secondary>
</indexterm>
<para>Mit diesem Limit lässt sich die maximale Anzahl
der von einem Prozess des Benutzers geöffneten Dateien
festlegen. In FreeBSD werden Dateien auch verwendet, um Sockets
und <foreignphrase>IPC</foreignphrase>-Kanäle
<footnote>
<para><foreignphrase>IPC</foreignphrase> steht für
<foreignphrase>Interprocess Communication</foreignphrase>.
</para>
</footnote>
darzustellen. Setzen Sie es deshalb nicht zu niedrig. Das
System-Limit ist im <varname>kern.maxfiles</varname>
&man.sysctl.8; definiert.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>sbsize</literal></term>
<listitem>
<indexterm><primary>sbsize</primary></indexterm>
<indexterm>
<primary>Benutzer einschränken</primary>
<secondary>sbsize</secondary>
</indexterm>
<para>Dieses Limit beschränkt den Netzwerk-Speicher, und damit
die mbufs, die ein Benutzer verbrauchen darf. Es stammt aus einer
Antwort auf einen DoS-Angriff, bei dem viele Netzwerk-Sockets
geöffnet wurden, kann aber generell dazu benutzt werden
Netzwerk-Verbindungen zu beschränken.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><literal>stacksize</literal></term>
<listitem>
<para>Das ist die maximale Größe, auf die der Stack
eines Prozesses heranwachsen darf. Das allein ist natürlich
nicht genug, um den Speicher zu beschränken, den ein Programm
verwenden darf. Es sollte deshalb in Verbindung mit anderen
Limits gesetzt werden.</para>
</listitem>
</varlistentry>
</variablelist>
<para>Beim Setzen von Ressourcenbeschränkungen sind noch andere
Dinge zu beachten. Nachfolgend ein paar generelle Tipps, Empfehlungen
und verschiedene Kommentare.</para>
<itemizedlist>
<listitem>
<para>Von <filename>/etc/rc</filename> beim Hochfahren des Systems
gestartete Prozesse werden der <literal>daemon</literal>
Login-Klasse zugewiesen.</para>
</listitem>
<listitem>
<para>Obwohl das mitgelieferte <filename>/etc/login.conf</filename>
eine Quelle von vernünftigen Limits darstellt, können nur
Sie, der Administrator, wissen, was für Ihr System angebracht
ist. Ein Limit zu hoch anzusetzen könnte Ihr System für
Missbrauch öffnen, und ein zu niedriges Limit der
Produktivität einen Riegel vorschieben.</para>
</listitem>
<listitem>
<para>Benutzer des X-Window Systems (X11) sollten wahrscheinlich
mehr Ressourcen zugeteilt bekommen als andere Benutzer. X11
beansprucht selbst schon eine Menge Ressourcen, verleitet die
Benutzer aber auch, mehrere Programme gleichzeitig laufen zu
lassen.</para>
</listitem>
<listitem>
<para>Bedenken Sie, dass viele Limits für einzelne Prozesse
gelten und nicht für den Benutzer selbst. Setzt man
zum Beispiel <varname>openfiles</varname> auf 50, kann jeder
Prozess des Benutzers bis zu 50 Dateien öffnen. Dadurch
ist die maximale Anzahl von Dateien, die von einem Benutzer
geöffnet werden können, <literal>openfiles</literal>
mal <literal>maxproc</literal>. Das gilt auch für den
Speicherverbrauch.</para>
</listitem>
</itemizedlist>
<para>Weitere Informationen über
Ressourcenbeschränkungen, Login-Klassen und -Fähigkeiten
enthalten die Hilfeseiten
&man.cap.mkdb.1;, &man.getrlimit.2; und &man.login.conf.5;.</para>
</sect1>
<sect1 id="users-groups">
<title>Gruppen</title>
<indexterm><primary>Gruppen</primary></indexterm>
<indexterm>
<primary><filename>/etc/groups</filename></primary>
</indexterm>
<indexterm>
<primary>Accounts</primary>
<secondary>Gruppen</secondary>
</indexterm>
<para>Eine Gruppe ist einfach eine Zusammenfassung von Accounts.
Gruppen werden durch den Gruppennamen und die GID (group ID)
identifiziert. Der Kernel von FreeBSD (und den meisten anderen &unix;
Systemen) entscheidet anhand der UID und der Gruppenmitgliedschaft
eines Prozesses, ob er dem Prozess etwas erlaubt oder nicht. Im
Unterschied zur UID kann ein Prozess zu einer Reihe von Gruppen
gehören. Wenn jemand von der GID eines
Benutzers oder Prozesses spricht, meint er damit meistens die erste
Gruppe der Gruppenliste.</para>
<para>Die Zuordnung von Gruppennamen zur GID steht in
<filename>/etc/group</filename>, einer Textdatei mit vier durch
Doppelpunkte getrennten Feldern. Im ersten Feld steht der
Gruppenname, das zweite enthält ein verschlüsseltes
Passwort, das dritte gibt die GID an und das vierte besteht aus einer
Komma separierten Liste der Mitglieder der Gruppe. Diese Datei kann
einfach editiert werden (natürlich nur, wenn Sie dabei keine
Syntaxfehler machen). Eine ausführliche Beschreibung der Syntax
dieser Datei finden Sie in &man.group.5;.</para>
<para>Wenn Sie <filename>/etc/group</filename> nicht händisch
editieren möchten, können Sie &man.pw.8; zum Editieren
benutzen. Das folgende Beispiel zeigt das Hinzufügen einer
Gruppe mit dem Namen <groupname>teamtwo</groupname>:</para>
<example>
<title>Setzen der Mitgliederliste einer Gruppe mit &man.pw.8;</title>
<screen>&prompt.root; <userinput>pw groupadd teamtwo</userinput>
&prompt.root; <userinput>pw groupshow teamtwo</userinput>
teamtwo:*:1100:</screen>
</example>
<para>Die Zahl <literal>1100</literal> ist die GID der Gruppe
<groupname>teamtwo</groupname>. Momentan hat
<groupname>teamtwo</groupname> noch keine Mitglieder und ist daher
ziemlich nutzlos. Um das zu ändern, nehmen wir nun
<username>jru</username> in <groupname>teamtwo</groupname>
auf.</para>
<example>
<title>Ein Gruppenmitglied mit <command>pw</command>
hinzufügen</title>
<screen>&prompt.root; <userinput>pw groupmod teamtwo -M jru</userinput>
&prompt.root; <userinput>pw groupshow teamtwo</userinput>
teamtwo:*:1100:jru</screen>
</example>
<para>Als Argument von <option>-M</option> geben Sie eine Komma
separierte Liste von Mitgliedern an, die in die Gruppe aufgenommen
werden sollen. Aus den vorherigen Abschnitten ist bekannt, dass die
Passwort-Datei ebenfalls eine Gruppe für jeden Benutzer
enthält. Das System teilt dem Benutzer automatisch eine Gruppe
zu, die aber vom <option>groupshow</option> Kommando von &man.pw.8;
nicht angezeigt wird. Diese Information wird allerdings von
&man.id.1; und ähnlichen Werkzeugen angezeigt. Das heißt,
dass &man.pw.8; nur <filename>/etc/group</filename> manipuliert,
es wird nicht versuchen, zusätzliche Informationen aus
<filename>/etc/passwd</filename> zu lesen.</para>
<example>
<title>Hinzufügen eines neuen Gruppenmitglieds mittels
&man.pw.8;</title>
<screen>&prompt.root; <userinput>pw groupmod teamtwo -m db</userinput>
&prompt.root; <userinput>pw groupshow teamtwo</userinput>
teamtwo:*:1100:jru,db</screen>
</example>
<para>Die Argumente zur Option <option>-m</option> ist eine durch Komma
getrennte Liste von Benutzern, die der Gruppe hinzugefügt werden
sollen. Anders als im vorherigen Beispiel werden diese Benutzer in die
Gruppe aufgenommen und ersetzen nicht die Liste der bereits bestehenden
Benutzer in der Gruppe.</para>
<example>
<title>Mit <command>id</command> die Gruppenzugehörigkeit
bestimmen</title>
<screen>&prompt.user; <userinput>id jru</userinput>
uid=1001(jru) gid=1001(jru) groups=1001(jru), 1100(teamtwo)</screen>
</example>
<para>Wie Sie sehen, ist <username>jru</username> Mitglied von
<groupname>jru</groupname> und <groupname>teamtwo</groupname>.</para>
<para>Weitere Informationen entnehmen Sie bitte &man.pw.8;.</para>
</sect1>
</chapter>