path: root/hu_HU.ISO8859-2/books/handbook/users/chapter.xml

<?xml version="1.0" encoding="iso-8859-2"?>
<!--
     The FreeBSD Documentation Project

     $FreeBSD$
-->
<!-- The FreeBSD Hungarian Documentation Project
     Translated by: PALI, Gabor <pgj@FreeBSD.org>
     %SOURCE%	en_US.ISO8859-1/books/handbook/users/chapter.xml
     %SRCID%	1.59
-->

<chapter id="users" lang="hu">
  <chapterinfo>
    <authorgroup>
      <author>
	<firstname>Neil</firstname>
	<surname>Blakey-Milner</surname>
	<contrib>Írta: </contrib>
      </author>
    </authorgroup>
  </chapterinfo>

  <title>Felhasználók és
    hozzáférések alapvetõ
    kezelése</title>

  <sect1 id="users-synopsis">
    <title>Áttekintés</title>

    <para>A &os; lehetõvé teszi, hogy egyazon idõben
      egyszerre több felhasználó is dolgozhasson a
      számítógépen.  Közülük
      nyilvánvalóan csak egy képes elõtte
      ülni
      <footnote>
	<para>Hacsak nem kapcsolunk hozzá több
	  terminált.  De ennek a leírását a
	  <xref linkend="serialcomms"/>re tartogatjuk.</para>
      </footnote>, de rajta kívül még sok más
      felhasználó is be tud jelentkezni a
      munkájához hálózaton keresztül.
      A rendszer használatához minden egyes
      felhasználónak hozzáféréssel
      kell rendelkeznie.</para>

    <para>A fejezet elolvasása során
      megismerjük:</para>

    <itemizedlist>
      <listitem>
	<para>a &os; rendszerben megtalálható
	  különféle felhasználói
	  hozzáférések közti
	  különbségeket;</para>
      </listitem>

      <listitem>
	<para>hogyan készítsünk új
	  felhasználói
	  hozzáféréseket;</para>
      </listitem>

      <listitem>
	<para>hogyan töröljünk felhasználói
	  hozzáféréseket;</para>
      </listitem>

      <listitem>
	<para>hogyan változtassuk meg a
	  hozzáférés adatait, mint
	  például a felhasználók teljes
	  nevét vagy a választott
	  parancsértelmezõjét;</para>
      </listitem>

      <listitem>
	<para>hogyan korlátozzuk az egyes
	  hozzáféréseket vagy
	  hozzáférések egy csoportját az
	  olyan erõforrások, mint például a
	  memória vagy a processzoridõ
	  védelmében;</para>
      </listitem>

      <listitem>
	<para>hogyan használjuk csoportokat a
	  hozzáférések
	  karbantartásának
	  megkönnyítésére.</para>
      </listitem>
    </itemizedlist>

    <para>A fejezet elolvasásához ajánlott:</para>

    <itemizedlist>
      <listitem>
	<para>a &unix; és a &os; alapjainak ismerete (<xref
	    linkend="basics"/>).</para>
      </listitem>
    </itemizedlist>

  </sect1>

  <sect1 id="users-introduction">
    <title>Bevezetés</title>

    <para>A rendszert bármilyen fajta módon csak
      hozzáféréseken keresztül tudjuk
      elérni, minden programot felhasználók
      futtatnak, ezért a felhasználók és
      hozzáférések kezelése a &os;
      rendszerek szerves része.</para>

    <para>A &os; rendszerben minden hozzáférés
      rendelkezik bizonyos információkkal az
      azonosításhoz.</para>

    <variablelist>
      <varlistentry>
	<term>Felhasználó neve</term>

	<listitem>
	  <para>A felhasználónevet a
	    <prompt>login:</prompt> felirat megjelenésekor kell
	    megadni.  A felhasználók neveinek egyedinek
	    kell lenni a számítógépen,
	    tehát két felhasználó nem
	    használhatja ugyanazt a nevet.  A &man.passwd.5; man
	    oldalon megtalálhatjuk azokat a szabályokat,
	    amelyek az érvényes
	    felhasználónevek
	    létrehozására vonatkoznak.
	    Általánosságban elmondható, hogy
	    a felhasználóneveknek kisbetûseknek kell
	    lenniük és legfeljebb nyolc karakterbõl
	    állhatnak.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>Jelszó</term>

	<listitem>
	  <para>Minden hozzáféréshez tartozik egy
	    jelszó is.  Ez a jelszó lehet akár
	    üres is, ebben az esetben nincs szükség
	    jelszóra a hozzáféréshez.  Ez
	    viszont többnyire nagyon rossz ötlet: minden
	    hozzáférést erõsen ajánlott
	    jelszóval védeni.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>Felhasználó azonosítója (User
	  ID, UID)</term>

	<listitem>
	  <para>Az UID egy szám, amely hagyományosan
	    0-tól 65535-ig terjed
	    <footnote id="users-largeuidgid">
	      <para>Lehetséges akár 4294967295-ig is
		számozni az UID/GID értékét,
		de az ekkora nagyságú
		azonosítók komoly gondokat okozhatnak az
		olyan szoftvereknek, melyek bizonyos
		feltételezésekkel élnek az
		értékeikkel kapcsolatban.</para>
	    </footnote>, és a felhasználó
	    rendszeren belüli egyedi
	    azonosítására használatos.  A
	    &os; az UID-ot a felhasználók
	    azonosítására használja
	    &mdash; bármelyik parancs, amely lehetõvé
	    teszi felhasználónevek
	    megadását, át fogja alakítani
	    UID-dé, mielõtt ténylegesen dolgozni
	    kezdene vele.  Ez tehát azt jelenti, hogy több
	    hozzáférésünk is lehet több
	    különbözõ
	    felhasználónévvel, de ugyanazzal az
	    UID-del.  Legalább is a &os; ezeket egyetlen
	    felhasználónak tekinti, de nem is
	    valószínû, hogy ilyenre valaha
	    szükségünk is lenne.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>Csoportazonosító (Group ID, GID)</term>

	<listitem>
	  <para>A csoportazonosító (Group ID, GID) egy
	    szám, amely általában 0-tól
	    65535-ig terjed <footnoteref linkend="users-largeuidgid"/>,
	    és azt az elsõdleges csoportot azonosítja
	    be egyedileg, amelyikhez a felhasználó
	    tartozik.  A csoportok segítségével az
	    erõforrások
	    hozzáférésének
	    vezérlését tudjuk megoldani a
	    felhasználók GID-jével az UID-dek
	    helyett.  Ezzel jelentõs mértékben
	    csökkenthetõ egyes konfigurációs
	    állományok mérete.  Egy
	    felhasználó egyszerre több csoport tagja
	    is lehet.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>Bejelentkezési osztály</term>

	<listitem>
	  <para>A bejelentkezési osztályok a
	    csoportszervezés
	    kibõvítését célozzák
	    meg, további rugalmasságot nyújtanak,
	    amikor a rendszert az egyes felhasználók
	    igényeihez szabjuk.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>Jelszóváltási idõ</term>

	<listitem>
	  <para>Alapértelmezés szerint a &os; nem
	    kényszeríti rá a
	    felhasználókat, hogy rendszeresen
	    megváltoztassák a jelszavukat.  Ezt
	    felhasználónként
	    kikényszeríthetjük, és így
	    az egyes, vagy akár az összes
	    felhasználót kötelezhetjük az adott
	    idõközönként
	    jelszóváltásra.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>A hozzáférés lejárati
	  ideje</term>

	<listitem>
	  <para>A &os;-ben alapértelmezés szerint nem
	    évülnek el a hozzáférések.
	    Ha azonban olyan hozzáféréseket kell
	    létrehoznunk, melyeknek korlátoznunk kell az
	    élettartamukat, mint például egy
	    iskolában a diákok számára,
	    akkor ilyenkor meg tudjuk adni a lejáratuk
	    idejét.  Ezen dátum után a
	    hozzáféréssel már nem lehet
	    bejelentkezni a rendszerbe, viszont a
	    hozzá tartozó könyvtárban
	    tárolt állományok továbbra is
	    megmaradnak.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>Felhasználó teljes neve</term>

	<listitem>
	  <para>Míg a felhasználónév
	    tökéletesen azonosítja a &os;
	    számára a hozzáférést,
	    nem feltétlenül tükrözi a
	    felhasználó valódi nevét.  Ezt
	    az információt is meg lehet adni a
	    hozzáféréshez.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>Felhasználói könyvtár</term>

	<listitem>
	  <para>A felhasználói könyvtár a
	    rendszerben található azon
	    könyvtár teljes elérési
	    útvonala, ahová a felhasználó a
	    bejelentkezést követõen kerül.
	    Elterjedt megszokás, hogy az összes
	    felhasználó könyvtárát a
	    <filename>/home/<replaceable>felhasználónév</replaceable></filename>
	    vagy a
	    <filename>/usr/home/<replaceable>felhasználónév</replaceable></filename>
	    könyvtárba teszik.  A felhasználók
	    ezekben a könyvtárakban tárolják a
	    személyes állományaikat, és
	    tetszõleges könyvtárakat hozhatnak
	    létre benne.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term>Felhasználói
	  parancsértelmezõ</term>

	<listitem>
	  <para>A parancsértelmezõ biztosítja azt az
	    alapértelmezett környezetet, amelyben a
	    felhasználó kapcsolatba tud lépni a
	    rendszerrel.  Többféle
	    parancsértelmezõ is akad, és a
	    tapasztaltabb felhasználók ragaszkodnak is
	    némelyikükhöz, ami gyakran
	    látható is a
	    hozzáférésük
	    beállításaiban.</para>
	</listitem>
      </varlistentry>
    </variablelist>

    <para>Három fõ típusa van a
      hozzáféréseknek: az <link
      linkend="users-superuser">adminisztrátori</link>, a <link
      linkend="users-system">rendszer-</link> és a <link
      linkend="users-user">felhasználói</link>
      hozzáférések.  Az adminisztátori
      hozzáférés, amelyre gyakran
      <username>root</username>ként hivatkoznak,
      használatos a rendszer karbantartására,
      és semmilyen korlátozás nem
      érvényes rá.  A
      rendszerhozzáférések
      szolgáltatásokat futtatnak.  Végezetül a
      felhasználói hozzáféréseket
      használják a valódi emberek, akik
      bejelentkeznek, leveleket olvasnak és így
      tovább.</para>

  </sect1>

  <sect1 id="users-superuser">
    <title>Az adminisztrátori
      hozzáférés</title>

    <indexterm>
      <primary>hozzáférések</primary>
      <secondary>adminisztrátor (root)</secondary>
    </indexterm>

    <para>Az adminisztátori hozzáférés,
      amelyet általában csak <username>root</username>nak
      nevezünk, a rendszeradminisztrációs feladatok
      elvégzéséhez van igazítva, és
      nem ajánlott az olyan hétköznapi
      tevékenységek elvégzéséhez,
      mint például a levelek olvasása és
      írása, a rendszer bejárása vagy a
      programozás.</para>

    <para>Ezért az adminisztrátor, eltérõen az
      átlagos felhasználói
      hozzáférésektõl, képes
      mindenféle határok nélkül
      tevékenykedni, és az adminisztrátori
      hozzáférés helytelen használata
      látványos katasztrófákat
      idézhet elõ.  A felhasználói
      hozzáférések képtelenek merõ
      véletlenségbõl tönkretenni a rendszert,
      ezért általánosságban véve az a
      legjobb, ha egyszerû felhasználói
      hozzáféréseket használunk, amint
      módunk van rá, hacsak nincs
      szükségünk kifejezetten különleges
      jogosultságokra.</para>

    <para>Minden esetben érdemes alaposan megfontolni az
      adminisztrátorként kiadott parancsokat, mivel
      egyetlen hiányzó szóköz vagy más
      egyéb karakter helyrehozhatatlan károkat okozhat a
      rendszerben.</para>

    <para>Ezért, ha még nem tettük volna meg
      korábban, legyen az elsõ dolgunk a fejezet
      elolvasása után, hogy létrehozunk egy kiemelt
      jogosultságokkal nem rendelkezõ
      felhasználót saját magunk
      számára a hétköznapi feladatok
      lebonyolítására.  Ez ugyanúgy
      vonatkozik a többfelhasználós és az
      egyfelhasználós módban futó
      rendszerekre is.  A fejezet egy késõbbi
      részében leírjuk, hogyan lehet további
      hozzáféréseket létrehozni, és
      hogyan kell váltani egy mezei felhasználó
      és az adminisztrátor
      hozzáférése között.</para>

  </sect1>

  <sect1 id="users-system">
    <title>Rendszerhozzáférések</title>

    <indexterm>
      <primary>hozzáférések</primary>
      <secondary>rendszer</secondary>
    </indexterm>

    <para>A rendszer általi hozzáférések
      azok, amelyek olyan szolgáltatások
      futtatásáért felelõsek, mint
      például a DNS, a levelezés, a webszerverek
      és így tovább.  Ennek oka a biztonság:
      ha minden szolgáltatást
      adminisztrátorként futtatnánk, bármit
      meg tudnának tenni a rendszerben.</para>

    <indexterm>
      <primary>hozzáférések</primary>
      <secondary><username>daemon</username></secondary>
    </indexterm>
    <indexterm>
      <primary>hozzáférések</primary>
      <secondary><username>operator</username></secondary>
    </indexterm>

    <para>Ilyen rendszerfelhasználók a
      <username>daemon</username>, <username>operator</username>,
      <username>bind</username> (a névfeloldáshoz),
      <username>news</username>, és a
      <username>www</username>.</para>

    <indexterm>
      <primary>hozzáférések</primary>
      <secondary><username>nobody</username></secondary>
    </indexterm>

    <para>A <username>nobody</username> (<quote>senki</quote>) egy
      általános jogosultságok nélküli
      rendszerfelhasználó.  Mindazonáltal nem
      szabad elfelejtenünk, hogy minél több
      szolgáltatást bízunk a
      <username>nobody</username>-ra, annál több
      állomány és program kerül vele
      kapcsolatba, ennélfogva annál erõsebbé
      válik a rendszer számára ez a
      felhasználó.</para>

  </sect1>

  <sect1 id="users-user">
    <title>Felhasználói
      hozzáférések</title>

    <indexterm>
      <primary>hozzáférések</primary>
      <secondary>felhasználó</secondary>
    </indexterm>

    <para>A felhasználói hozzáférések
      a valós felhasználók elsõdleges
      eszközei a rendszer felé, és ezek a
      hozzáférések szigetelik el a
      felhasználókat és a környezeteket,
      megakadályozva, hogy a felhasználók
      kárt okozzanak akár a rendszerben, akár
      egymásnak, valamint lehetõvé teszik a
      felhasználók számára a
      környezeteik testreszabását
      anélkül, hogy a többiekét
      módosítani kellene.</para>

    <para>Minden olyan személynek, aki hozzá akar
      férni a rendszerünkhöz, rendelkeznie kell
      felhasználói azonosítóval.
      Ezáltal meg tudjuk állapítani, ki mivel
      foglalkozik éppen a rendszerben, és meg tudjuk
      akadályozni, hogy a felhasználók
      elérjék egymás
      beállításait, olvassák egymás
      leveleit és így tovább.</para>

    <para>Minden felhasználó alakítani tudja a
      saját környezetét, és ezzel mintegy
      berendezkedik a rendszerünkben, különféle
      parancsértelmezõk, szövegszerkesztõk,
      billentyû-hozzárendelések és nyelvek
      használatával.</para>

  </sect1>

  <sect1 id="users-modifying">
    <title>A hozzáférések
      módosítása</title>

    <indexterm>
      <primary>hozzáférések</primary>
      <secondary>módosítás</secondary>
    </indexterm>

    <para>Egy &unix;-os környezetben több
      különbözõ parancs közül
      választhatunk a felhasználói
      hozzáférések
      módosításakor.  A
      legáltalánosabb parancsokat az alábbiakban
      foglaljuk össze, amit ezután a használatukat
      részletesebben bemutató példák
      követnek.</para>

    <informaltable frame="none" pgwide="1">
      <tgroup cols="2">
	<colspec colwidth="1*"/>
	<colspec colwidth="2*"/>

	<thead>
	  <row>
	    <entry>Parancs</entry>
	    <entry>Leírás</entry>
	  </row>
	</thead>
	<tbody>
	  <row>
	    <entry>&man.adduser.8;</entry>
	    <entry>az új felhasználók
	      felvételére ajánlott parancssoros
	      alkalmazás</entry>
	  </row>
	  <row>
	    <entry>&man.rmuser.8;</entry>
	    <entry>a felhasználók
	      eltávolítására ajánlott
	      parancssoros alkalmazás</entry>
	  </row>
	  <row>
	    <entry>&man.chpass.1;</entry>
	    <entry>rugalmas eszköz a felhasználói
	      adatbázis információinak
	      megváltoztatására</entry>
	  </row>
	  <row>
	    <entry>&man.passwd.1;</entry>
	    <entry>egy egyszerû parancssoros segédprogram a
	      felhasználói jelszavak
	      megváltoztatásához</entry>
	  </row>
	  <row>
	    <entry>&man.pw.8;</entry>
	    <entry>egy erõteljes és rugalmas
	      segédeszköz a felhasználói
	      hozzáférések teljeskörû
	      módosításához</entry>
	  </row>
	</tbody>
      </tgroup>
    </informaltable>

    <sect2 id="users-adduser">
      <title><command>adduser</command></title>

      <indexterm>
	<primary>hozzáférések</primary>
	<secondary>hozzáadás</secondary>
      </indexterm>
      <indexterm><primary><command>adduser</command></primary></indexterm>
      <indexterm><primary><filename class="directory">/usr/share/skel</filename></primary></indexterm>
      <indexterm><primary>vázkönyvtár</primary></indexterm>

      <para>Az &man.adduser.8; a felhasználók
	hozzáadására használható
	egyszerû program.  Bejegyzéseket hoz létre a
	rendszer <filename>passwd</filename> és
	<filename>group</filename> állományaiban.  Ezen
	kívül még létrehozza az új
	felhasználó könyvtárát is,
	odamásolja az alapértelmezett
	konfigurációs állományokat a
	<filename>/usr/share/skel</filename>
	könyvtárból (ezek a
	felhasználóknál ponttal kezdõdõen
	jelennek meg, de az említett könyvtárban
	<quote>dot</quote> elõtaggal szerepelnek), és
	opcionálisan küld egy üdvözlõlevelet
	az újdonsült felhasználónak.</para>

      <example>
	<title>Felhasználó hozzáadása a
	  &os;-ben</title>

	<screen>&prompt.root; <userinput>adduser</userinput>
Username: <userinput>jantyik</userinput>
Full name: <userinput>Jantyik Zsolt</userinput>
Uid (Leave empty for default):
Login group [jantyik]:
Login group is jantyik. Invite jantyik into other groups? []: <userinput>wheel</userinput>
Login class [default]:
Shell (sh csh tcsh zsh nologin) [sh]: <userinput>zsh</userinput>
Home directory [/home/jantyik]:
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username   : jantyik
Password   : ****
Full Name  : Jantyik Zsolt
Uid        : 1001
Class      :
Groups     : jantyik wheel
Home       : /home/jantyik
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): <userinput>yes</userinput>
adduser: INFO: Successfully added (jantyik) to the user database.
Add another user? (yes/no): <userinput>no</userinput>
Goodbye!
&prompt.root;</screen>
      </example>

      <note>
	<para>A jelszó a beírás során
	  egyáltalán nem jelenik meg, még
	  csillagokat sem láthatunk a karakterek helyén.
	  Ezért vigyázzunk, nehogy elgépeljük
	  véletlenül a jelszót!</para>
      </note>

    </sect2>

    <sect2 id="users-rmuser">
      <title><command>rmuser</command></title>

      <indexterm><primary><command>rmuser</command></primary></indexterm>
      <indexterm>
	<primary>hozzáférések</primary>
	<secondary>eltávolítás</secondary>
      </indexterm>

      <para>Az &man.rmuser.8; használható a
	felhasználók teljes
	eltávolítására a rendszerbõl.
	Az &man.rmuser.8; az alábbi lépéseket
	hajtja végre:</para>

      <procedure>
	<step>
	  <para>Eltávolítja a felhasználó
	    &man.crontab.1; bejegyzéseit (amennyiben
	    léteznek).</para>
	</step>
	<step>
	  <para>Eltávolítja az &man.at.1;
	    felhasználóhoz tartozó
	    munkáit.</para>
	</step>
	<step>
	  <para>Leállítja a felhasználó
	    által birtokolt összes futó
	    programot.</para>
	</step>
	<step>
	  <para>Eltávolítja a felhasználót a
	    rendszer helyi jelszó
	    állományából.</para>
	</step>
	<step>
	  <para>Eltávolítja a felhasználó
	    könyvtárát (amennyiben az a
	    felhasználó birtokában van).</para>
	</step>
	<step>
	  <para>Eltávolítja a felhasználóhoz
	    tartozó beérkezõ leveleket
	    tartalmazó állományt a
	    <filename>/var/mail</filename>
	    könyvtárból.</para>
	</step>
	<step>
	  <para>Eltávolítja a felhasználó
	    tulajdonában levõ összes
	    állományt az olyan ideiglenes
	    tárhelyekrõl, mint például a
	    <filename>/tmp</filename> könyvtár.</para>
	</step>
	<step>
	  <para>Végezetül eltávolítja a
	    felhasználó nevét az összes olyan
	    csoportból, amelyhez az
	    <filename>/etc/group</filename> szerint tartozik.</para>

	    <note>
	      <para>Ha menet közben egy csoport üressé
		válik, és a csoport neve megegyezik a
		felhasználó nevével, a csoport is
		eltávolításra kerül.  Ez
		kiegészíti az &man.adduser.8;
		eszközzel létrehozott
		felhasználónkénti egyedi
		csoportokat.</para>
	    </note>
	</step>
      </procedure>

      <para>A &man.rmuser.8; nem használható
	adminisztrátori hozzáférések
	törlésére, mivel az szinte majdnem mindig a
	teljes összeomlást vonja maga után.</para>

      <para>Alapértelmezés szerint interaktív
	módban mûködik, melynek során
	megpróbál megbizonyosodni róla, hogy
	tényleg a megfelelõ dolgot cselekedjük.</para>

      <example>
	<title><command>rmuser</command>
	  Hozzáférések interaktív
	  eltávolítása</title>

	<screen>&prompt.root; <userinput>rmuser jantyik</userinput>
Matching password entry:
jantyik:*:1001:1001::0:0:Jantyik Zsolt:/home/jantyik:/usr/local/bin/zsh
Is this the entry you wish to remove? <userinput>y</userinput>
Remove user's home directory (/home/jantyik)? <userinput>y</userinput>
Updating password file, updating databases, done.
Updating group file: trusted (removing group jantyik -- personal group is empty) done.
Removing user's incoming mail file /var/mail/jantyik: done.
Removing files belonging to jantyik from /tmp: done.
Removing files belonging to jantyik from /var/tmp: done.
Removing files belonging to jantyik from /var/tmp/vi.recover: done.
&prompt.root;</screen>
      </example>

    </sect2>

    <sect2 id="users-chpass">
      <title><command>chpass</command></title>

      <indexterm><primary><command>chpass</command></primary></indexterm>

      <para>A &man.chpass.1; segítségével meg
	tudjuk változtatni a felhasználói
	adatbázisban található
	információkat, mint például a
	jelszavakat, parancsértelmezõket és a
	személyes adatokat.</para>

      <para>Csak a rendszeradminisztrátoroknak, mint
	például magának az adminisztrátornak,
	szabad megváltoztatnia a felhasználók
	adatait a &man.chpass.1; programmal.</para>

      <para>Amikor az opcionálisan megadható
	felhasználói névtõl eltekintve nem
	adunk át neki paramétereket, a &man.chpass.1; egy
	szövegszerkesztõben megnyitja az érintett
	felhasználó adatait.  Miután
	kiléptünk belõle, a felhasználói
	adatbázist a megváltoztatott adatoknak
	megfelelõen frissíti.</para>

      <note>
	<para>Ha nem adminisztrátorként hívjuk meg,
	  akkor a rendszer kérni fogja a jelszavunkat,
	  miután kiléptünk a
	  szövegszerkesztõbõl.</para>
     </note>

      <example>
	<title>A <command>chpass</command> interaktív
	  használata adminisztrátorként</title>

	<screen># A jantyik nevû felhasználó adatainak módosítása.
Login: jantyik
Password: *
Uid [#]: 1001
Gid [# or name]: 1001
Change [month day year]:
Expire [month day year]:
Class:
Home directory: /home/jantyik
Shell: /usr/local/bin/zsh
Full Name: Jantyik Zsolt
Office Location:
Office Phone:
Home Phone:
Other information:</screen>
      </example>

      <para>Egy átlagos felhasználó a bemutatott
	adatoknak csak igen kis részét képes
	módosítani, és azokat is csak saját
	maga számára.</para>

      <example>
	<title>A <command>chpass</command> interaktív
	  használata normál
	  felhasználóként</title>

	<screen># A jantyik nevû felhasználó adatainak megváltoztatása.
Shell: /usr/local/bin/zsh
Full Name: Jantyik Zsolt
Office Location:
Office Phone:
Home Phone:
Other information:</screen>
      </example>

      <note>
	<para>A &man.chfn.1; és &man.chsh.1; parancsok
	  csupán linkek a &man.chpass.1; parancsra,
	  akárcsak a &man.ypchpass.1;, &man.ypchfn.1; és
	  az &man.ypchsh.1;.  A NIS támogatása teljesen
	  magától mûködik, ezért az
	  <literal>yp</literal> elõtag használata nem
	  kötelezõ.  Ha ez nem érthetõ, nem kell
	  megijedni, a NIS-t majd a <xref linkend="network-servers"/>ben
	  bemutatjuk.</para>
      </note>

    </sect2>

    <sect2 id="users-passwd">
      <title><command>passwd</command></title>

      <indexterm><primary><command>passwd</command></primary></indexterm>
      <indexterm>
	<primary>hozzáférések</primary>
	<secondary>jelszóváltoztatás</secondary>
      </indexterm>

      <para>Felhasználóként a saját
	jelszavunkat, adminisztrátorként pedig
	bármelyik felhasználó jelszavát a
	&man.passwd.1; segítségével
	váloztathatjuk meg a megszokott módon.</para>

      <note>
	<para>A véletlen balesetek és az
	  illetéktelen változtatások ellen
	  védelmet nyújt, hogy az eredeti jelszót
	  is meg kell adnunk az új jelszó
	  beállításához.</para>
      </note>

      <example>
	<title>A jelszavunk megváltoztatása</title>

	<screen>&prompt.user; <userinput>passwd</userinput>
Changing local password for jantyik.
Old password:
New password:
Retype new password:
passwd: updating the database...
passwd: done</screen>
      </example>

      <example>
	<title>Egy másik felhasználó
	  jelszavának megváltoztatása
	  adminisztrátorként</title>

	<screen>&prompt.root; <userinput>passwd jantyik</userinput>
Changing local password for jantyik.
New password:
Retype new password:
passwd: updating the database...
passwd: done</screen>
      </example>

      <note>
	<para>Ahogy a &man.chpass.1;, az &man.yppasswd.1; is csak egy
	  link a &man.passwd.1; parancsra, így a NIS mind a
	  két megadási módban
	  mûködik.</para>
      </note>

    </sect2>

    <sect2 id="users-pw">
      <title><command>pw</command></title>

      <indexterm><primary><command>pw</command></primary></indexterm>

      <para>A &man.pw.8; egy olyan parancssori segédprogram,
	amellyel felhasználókat és csoportokat
	tudunk létrehozni, törölni,
	módosítani és megjeleníteni.  Ez
	tulajdonképpen a rendszer felhasználókat
	és csoportokat tároló
	állományainak egyfajta kezelõfelülete.
	A &man.pw.8; kiválóan paraméterezhetõ,
	aminek köszönhetõen remekül
	kiaknázható tudása a
	különféle parancsértelmezõk
	szkriptjeiben, habár a kezdõ
	felhasználók nehézkesebbnek
	érezhetik a kezelését a korábban
	mutatott parancsokhoz képest.</para>

    </sect2>
  </sect1>

  <sect1 id="users-limiting">
    <title>A felhasználók
      korlátozása</title>

    <indexterm><primary>felhasználók
      korlátozása</primary></indexterm>
    <indexterm>
      <primary>hozzáférések</primary>
      <secondary>korlátozás</secondary>
    </indexterm>

    <para>Ha már vannak felhasználóink, gyakran
      szóba kerülhet esetükben a rendszer
      használatának korlátozása.  A &os;
      rengeteg módon engedi korlátozni a
      rendszergazdának az egyénenként
      használható erõforrások
      mennyiségét a rendszerben.  Ezek a korlátok
      két részre oszthatóak: a
      lemezkvótákra és egyéb
      erõforráskorlátokra.</para>

    <indexterm><primary>kvóták</primary></indexterm>
    <indexterm>
      <primary>felhasználók
	korlátozása</primary>
      <secondary>kvóták</secondary>
    </indexterm>
    <indexterm><primary>lemezkvóták</primary></indexterm>

    <para>A lemezkvóták a felhasználók
      lemezhasználatát korlátozzák,
      és lehetõvé teszik, hogy állandó
      újraszámolás nélkül, gyorsan
      ellenõrizni tudjuk ennek mértékét.  A
      kvótákat a <xref linkend="quotas"/>ban
      részletezzük.</para>

    <para>A többi erõforrás korlátozása
      magában foglalja a processzoridõ, memória
      és minden olyan erõforrás
      behatárolását, amihez a
      felhasználó csak hozzá tud férni.
      Ezeket bejelentkezési osztályokon keresztül
      határozzuk meg, ezekrõl esik itt most
      szó.</para>

    <indexterm><primary><filename>/etc/login.conf</filename></primary></indexterm>

    <para>A bejelentkezési osztályokat az
      <filename>/etc/login.conf</filename> állományban
      adhatjuk meg.  Ennek pontos ismertetése nem tárgya
      ennek a szakasznak, de ezt megtalálhatjuk a
      &man.login.conf.5; man oldalon.  Elegendõ csak annyit
      mondanunk, hogy minden felhasználóhoz tartozik egy
      bejelentkezési osztály (alapértelmezés
      szerint a <literal>default</literal> nevû), és minden
      egyes bejelentkezési osztályhoz tulajdonságok
      egy halmaza társul.  Ezek a bejelentkezési
      tulajdonságok
      <literal><replaceable>név</replaceable>=<replaceable>érték</replaceable></literal>
      párosokból állnak, ahol
      <replaceable>név</replaceable> egy jól ismert
      azonosító, illetve az
      <replaceable>érték</replaceable> egy
      tetszõleges sztring, melyet a nevétõl
      függõ módon dolgozunk fel.  A
      bejelentkezési osztályok és
      tulajdonságok beállítása
      eléggé magától
      értetõdõ, és a &man.login.conf.5; man
      oldal is jól leírja.</para>

    <note>
      <para>A rendszer általában nem magát az
	<filename>/etc/login.conf</filename> állományban
	található beállításokat
	olvassa be, hanem az <filename>/etc/login.conf.db</filename>
	állományt, amiben gyorsabban lehet keresni.  Az
	<filename>/etc/login.conf</filename>
	állományból az
	<filename>/etc/login.conf.db</filename> állományt
	az alábbi paranccsal tudjuk legyártani:
      </para>

      <screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen>
    </note>

    <para>Az erõforrások korlátozása
      két irányban is eltér a sima
      hétköznapi bejelentkezési
      tulajdonságoktól.  Elõször is minden
      korláthoz létezik egy gyenge (aktuális)
      és egy erõs korlát.  A gyenge korlátok a
      felhasználók vagy az alkalmazások
      részérõl még
      finomíthatóak, de az erõs korláton
      túl már nem.  Ez utóbbit mindig tudja
      csökkenteni a felhasználó, de sose tudja
      növelni.  Másodsorban a legtöbb
      erõforráskorlát az adott
      felhasználó által futtatott programokra
      egyenként vonatkozik, nem pedig az összesre
      együttesen.  Megjegyezzük azonban, hogy ezeket az
      eltéréseket a korlátok különleges
      kezelése indokolja, nem pedig a bejelentkezési
      tulajdonságok rendszerének
      megvalósítása (tehát a korlátok
      <emphasis>valójában nem</emphasis> ezen
      tulajdonságok speciális esetei.)</para>

    <para>Így aztán, minden további
      magyarázkodás nélkül, felsoroljunk alant
      a leggyakrabban alkalmazott erõforráskorlátokat
      (a többi, más egyéb bejelentkezési
      tulajdonságokkal együtt, megtalálható a
      &man.login.conf.5; man oldalon).</para>

    <variablelist>
      <varlistentry>
	<term><literal>coredumpsize</literal></term>

	<listitem>
	  <indexterm><primary>coredumpsize</primary></indexterm>
	  <indexterm>
	    <primary>felhasználók
	      korlátozása</primary>
	    <secondary>coredumpsize</secondary>
	  </indexterm>

	  <para>A program által létrehozott
	    memóriakivonat maximális méretét
	    határolja be ez a korlát,
	    értelemszerûen a többi lemezterületre
	    vonatkozó korlátnak (például a
	    <literal>filesize</literal> vagy a
	    lemezkvóták) alárendelt módon.
	    Mindazonáltal ezt gyakran használjuk egyfajta
	    enyhébb lemezfoglalási
	    korlátként.  Mivel nem maguk a
	    felhasználók hozzák létre ezeket
	    az állományokat és sokszor nem is
	    törlik le ezeket, ez a beállítás
	    azonban megmentheti ezeket a nagyobb programok (mint
	    például az <application>emacs</application>)
	    összeomlása során keletkezõ
	    memóriakivonatok felesleges
	    helyfoglalásától.</para>

	</listitem>
      </varlistentry>

      <varlistentry>
	<term><literal>cputime</literal></term>

	<listitem>
	  <indexterm><primary>cputime</primary></indexterm>
	  <indexterm>
	    <primary>felhasználók
	      korlátozása</primary>
	    <secondary>cputime</secondary>
	  </indexterm>

	  <para>Az a maximális processzoridõ, amit a
	    felhasználó által futtatott programok
	    egyenként fogyaszthatnak.  A vétkezõ
	    programok futását a rendszermag
	    leállítja.</para>

	    <note>
	      <para>Ez a korlát a
		processzor<emphasis>idõ</emphasis>re vonatkozik,
		nem pedig a processzor
		kihasználtságának
		százalékára, ahogy a &man.top.1;
		és a &man.ps.1; szokta megjeleníteni.  Ez
		utóbbi alapján korlátozni ugyanis,
		még ezen leírás
		készítésének pillanataiban
		nem lehetséges, és meglehetõsen
		hasztalan is lenne: egy fordítóprogram
		&mdash; ami minden bizonnyal egy szabályosan
		futó program &mdash; könnyen fel tudja
		emészteni majdnem az egész processzort egy
		idõre.</para>
	    </note>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term><literal>filesize</literal></term>

	<listitem>
	  <indexterm><primary>filesize</primary></indexterm>
	  <indexterm>
	    <primary>felhasználók
	      korlátozása</primary>
	    <secondary>filesize</secondary>
	  </indexterm>

	  <para>A felhasználó által
	    birtokolható állományok
	    maximális mérete.  Eltérõen a
	    <link
	    linkend="quotas">lemezkvótáktól</link>,
	    ez a korlát az egyes állományokra
	    vonatkozik, nem pedig a felhasználó
	    összes állományára
	    együttesen.</para>

	</listitem>
      </varlistentry>

      <varlistentry>
	<term><literal>maxproc</literal></term>

	<listitem>
	  <indexterm><primary>maxproc</primary></indexterm>
	  <indexterm>
	    <primary>felhasználók
	      korlátozása</primary>
	    <secondary>maxproc</secondary>
	  </indexterm>

	  <para>A felhasználó által egyidõben,
	    az elõtérben és a háttérben
	    futtatható programok maximális száma.
	    Érthetõ okokból ez az érték
	    nem lehet nagyobb, mint a rendszerben a &man.sysctl.8;
	    által definiált
	    <varname>kern.maxproc</varname> (a rendszermag által
	    maximálisan futtatható programok
	    számának) értéke.
	    Érdemes még továbbá megjegyezni,
	    hogy ez a beállítás gátolhatja a
	    felhasználó munkáját: gyakran
	    hasznos lehet egyszerre több példányban
	    is bejelentkezni a rendszerbe vagy csövekkel
	    összekapcsolt programokat futtatni.  Bizonyos
	    feladatok, mint például egy nagyobb program
	    lefordítása, több program
	    futására is szétterjedhetnek
	    (például a &man.make.1;, &man.cc.1; és
	    egyéb köztes feldolgozókra).</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term><literal>memorylocked</literal></term>

	<listitem>
	  <indexterm><primary>memorylocked</primary></indexterm>
	  <indexterm>
	    <primary>felhasználók
	      korlátozása</primary>
	    <secondary>memorylocked</secondary>
	  </indexterm>

	  <para>Ezzel korlátozhatjuk az egyes futó
	    programok által zárolható
	    memóriaterület méretét a
	    központi memóriában (lásd
	    &man.mlock.2;).  Egyes rendszerkritikus programok, mint
	    például az &man.amd.8;, zárolják
	    magukat a központi memóriában, és
	    ezért soha nem lapozódnak ki onnan.  Ennek
	    köszönhetõen nem érinti ezeket a
	    rendszer lapozásból eredõ esetleges
	    lelassulása.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term><literal>memoryuse</literal></term>

	<listitem>
	  <indexterm><primary>memoryuse</primary></indexterm>
	  <indexterm>
	    <primary>felhasználók
	      korlátozása</primary>
	    <secondary>memoryuse</secondary>
	  </indexterm>

	  <para>Ez az a maximális memóriamennyiség,
	    amelyet egy futó program egyszerre használhat.
	    Ebbe együttesen beleértendõ a központi
	    memóriában és a
	    lapozóállományban elfoglalt hely.  Ez
	    ugyan nem minden szempontból korlátozza egy
	    program memóriahasználatát, de
	    indulásnak megfelelõ.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term><literal>openfiles</literal></term>

	<listitem>
	  <indexterm><primary>openfiles</primary></indexterm>
	  <indexterm>
	    <primary>felhasználók
	      korlátozása</primary>
	    <secondary>openfiles</secondary>
	  </indexterm>

	  <para>A felhasználó egyes futtatott programjai
	    által egy idõben megnyitható
	    állományok maximális száma.
	    &os;-ben az állományok közé a
	    foglalatok és az IPC-csatornák is
	    beszámítanak.  Ezért vigyázzunk,
	    nehogy véletlenül túlságosan
	    alacsonyra állítsuk ezt az
	    értéket.  Ezt rendszerszinten a
	    <varname>kern.maxfiles</varname> &man.sysctl.8;
	    érték határozza meg.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term><literal>sbsize</literal></term>

	<listitem>
	  <indexterm><primary>sbsize</primary></indexterm>
	  <indexterm>
	    <primary>felhasználók
	      korlátozása</primary>
	    <secondary>sbsize</secondary>
	  </indexterm>

	  <para>A korlátozás a felhasználó
	    által egyszerre maximálisan
	    elérhetõ hálózati memória
	    és így a rendszermag puffereire vonatkozik.
	    Eredetileg a régebbi, sok csatlakozást
	    felemésztõ DoS (Denial of Service)
	    támadások ellen nyújtana
	    védelmet, de általánosságban
	    alkalmazható a hálózati
	    kommunikáció
	    korlátozására is.</para>
	</listitem>
      </varlistentry>

      <varlistentry>
	<term><literal>stacksize</literal></term>

	<listitem>
	  <indexterm><primary>stacksize</primary></indexterm>
	  <indexterm>
	    <primary>felhasználók
	      korlátozása</primary>
	    <secondary>stacksize</secondary>
	  </indexterm>

	  <para>Ez a felhasználó által
	    mûködtetett egyes programok vermeinek
	    maximális mérete.  Önmagában nem
	    elegendõ a programok által használt
	    memóriamennyiség
	    korlátozására, így emiatt
	    inkább a többi korláttal együtt
	    érdemes alkalmazni.</para>
	</listitem>
      </varlistentry>
    </variablelist>

    <para>Van néhány tényezõ, amelyekre
      érdemes odafigyelni az erõforrások
      korlátainak beállítása során.
      Most következik pár tipp, javaslat és
      egyéb megjegyzés a témához.</para>

    <itemizedlist>
      <listitem>
	<para>A rendszerindítás során az
	  <filename>/etc/rc</filename> által indított
	  programok a <literal>daemon</literal> bejelentkezési
	  osztályba tartoznak.</para>
      </listitem>

      <listitem>
	<para>Habár a rendszerrel érkezõ
	  <filename>/etc/login.conf</filename> állományban
	  remekül be van állítva a legtöbb
	  korlát, de nekünk, mint rendszergazdáknak,
	  kell ismernünk a saját rendszerünk
	  korlátait.  Ezen korlátok túlzott
	  tágításával a rendszerünk
	  könnyen leterhelhetõvé válik,
	  míg a túlzott
	  szûkítésével akadályozhatjuk
	  a hatékony használatát.</para>
      </listitem>

      <listitem>
	<para>Az X Window System (X11) felhasználóinak a
	  többi felhasználónál
	  valószínûleg jóval több
	  erõforráshoz kell tudniuk
	  hozzáférni.  Az X11 már
	  önmagában sok erõforrást eszik, de
	  egyben bátorítja is a
	  felhasználókat több program
	  párhuzamos futtatására.</para>
      </listitem>

      <listitem>
	<para>Ne felejtsük el, hogy sok korlát az egyes
	  különállóan futó programokra
	  vonatkozik, nem pedig a felhasználó összes
	  futtatott programjára.  Például ha
	  beállítjuk 50-re az <varname>openfiles</varname>
	  értékét, a felhasználó
	  által elindított programok mindegyike legfeljebb
	  50 állományt tud majd megnyitni.  Emiatt a
	  felhasználó által egyszerre
	  ténylegesen megnyitható állományok
	  száma az <literal>openfiles</literal> és a
	  <literal>maxproc</literal> aktuális
	  értékeinek szorzatából
	  adódik.  Ugyanez igaz a
	  memóriahasználatra is.</para>
      </listitem>
    </itemizedlist>

    <para>Az erõforrások
      korlátozásáról, a
      bejelentkezési osztályokról és
      tulajdonságaikról a hozzájuk tartozó
      man oldalakon olvashatunk: &man.cap.mkdb.1;, &man.getrlimit.2;
      és &man.login.conf.5;.</para>

  </sect1>

  <sect1 id="users-groups">
    <title>Csoportok</title>

    <indexterm><primary>csoportok</primary></indexterm>
    <indexterm><primary><filename>/etc/groups</filename></primary></indexterm>
    <indexterm>
      <primary>hozzáférések</primary>
      <secondary>csoportok</secondary>
    </indexterm>

    <para>Egy csoport nem több felhasználók
      összességénél.  A csoportokat a
      nevük és az azonosítójuk (Group ID, GID)
      azonosítja be.  A &os;-ben (és a legtöbb
      &unix;-szerû rendszerben) a rendszermag két
      tényezõ alapján dönt arról, mit
      szabad tennie egy futó programnak: ezek közül az
      egyik a tulajdonosának azonosítója (UID), a
      másik azon csoportok listája, melyeknek tagja a
      tulajdonos.  Eltérõen a UID-tõl, egy futó
      programhoz csoportok listája tartozik.  Amikor egy
      felhasználó vagy egy futó program
      <quote>csoportazonosítójára</quote>
      hivatkoznak, általában csak a lista elsõ
      elemére gondolnak.</para>

    <para>A csoportok nevei és azonosítói
      közti megfeleltetéseket az
      <filename>/etc/group</filename> állományban
      találjuk.  Ez lényegében egy szimpla
      szöveges állomány, négy
      kettõsponttal elválasztott mezõt tartalmaz.  Ezek
      közül az elsõ a csoport neve, a második a
      titkosított jelszó, a harmadik a csoport
      azonosítója, a negyedik pedig a tagok vesszõvel
      tagolt felsorolása.  Akár kézzel is nyugodtan
      szerkeszthetõ (feltételezve persze, hogy nem
      vétünk benne szintaktikai hibát!).  A szintaxis
      teljes leírását a &man.group.5; man oldalon
      találhatjuk meg.</para>

    <para>Ha nem akarjuk magunk szerkeszteni az
      <filename>/etc/group</filename> állományt,
      használhatjuk a &man.pw.8; parancsot is csoportok
      létrehozására és
      törlésére.  Például hozzuk
      létre a <groupname>pg_csoport</groupname> nevû
      csoportot és vizsgáljuk meg, valóban
      létrejött-e:</para>

    <example>
      <title>A csoportok tagjainak beállítása a
	&man.pw.8; használatával</title>

      <screen>&prompt.root; <userinput>pw groupadd pg_csoport</userinput>
&prompt.root; <userinput>pw groupshow pg_csoport</userinput>
pg_csoport:*:1100:</screen>
    </example>

    <para>A fent szereplõ <literal>1100</literal>-as
      érték a <groupname>pg_csoport</groupname>
      csoportazonosítója.  Ebben a pillanatban a
      <groupname>pg_csoport</groupname>nak még egyetlen tagja
      sincs, ami miatt lényegében haszontalan.  Így
      hát hívjuk meg a <groupname>pg_csoport</groupname>ba
      a korábban létrehozott <username>jantyik</username>
      nevû felhasználót.</para>

    <example>
      <title>A csoport tagjainak beállítása a
	&man.pw.8; használatával</title>

      <screen>&prompt.root; <userinput>pw groupmod pg_csoport -M jantyik</userinput>
&prompt.root; <userinput>pw groupshow pg_csoport</userinput>
pg_csoport:*:1100:jantyik</screen>
    </example>

    <para>Az <option>-M</option> kapcsoló paramétere a
      csoportba sorolandó felhasználók neveinek
      vesszõkkel tagolt listája.  A korábbi szakaszok
      alapján már tudjuk, hogy a jelszavakat
      tároló állomány egyben azokat a
      csoportokat is tartalmazza, ahova az egyes
      felhasználók tartoznak.  Az utóbbiakat (a
      felhasználókat) automatikusan beleteszi a rendszer a
      csoportlistába, de az érintett
      felhasználó nem fog megjelenni tagként a
      &man.pw.8; parancs <option>groupshow</option>
      utasításával, azonban az &man.id.1; és
      a hozzá hasonló eszközökkel már
      látható lesz.  Más szavakkal élve, a
      &man.pw.8; csak az <filename>/etc/group</filename>
      állományt módosítja, és soha
      nem próbál meg további adatokat kiolvasni az
      <filename>/etc/passwd</filename>
      állományból.</para>

    <example>
      <title>Egy új tag felvétele a csoportba a &man.pw.8;
	használatával</title>

      <screen>&prompt.root; <userinput>pw groupmod pg_csoport -m kisati</userinput>
&prompt.root; <userinput>pw groupshow pg_csoport</userinput>
pg_csoport:*:1100:jantyik,kisati</screen>
    </example>

    <para>Az <option>-m</option> kapcsoló paramétere azon
      felhasználók vesszõvel tagolt listája,
      akiket fel akarunk venni a csoportba.  Tehát
      eltérõen az elõzõ
      példától, ezeket a
      felhasználókat felvesszük a csoportba, nem
      pedig átírjuk velük a csoport jelenlegi
      tagjainak listáját.</para>

    <example>
      <title>Az &man.id.1; használata a csoporttagság
	megállapítására</title>

      <screen>&prompt.user; <userinput>id jantyik</userinput>
uid=1001(jantyik) gid=1001(jantyik) groups=1001(jantyik), 1100(pg_csoport)</screen>
    </example>

    <para>Ahogy láthatjuk is, a <username>jantyik</username>
      nevû felhasználó tagja a
      <groupname>jantyik</groupname> nevû csoportnak és a
      <groupname>pg_csoport</groupname>nak is.</para>

    <para>A &man.pw.8; mûködésérõl a
      saját man oldalán, az
      <filename>/etc/group</filename> formátumáról
      pedig a &man.group.5; man oldalon találhatunk több
      információt.</para>

  </sect1>
</chapter>