Difference between revisions of "Users and groups (Русский)"

From ArchWiki
Jump to navigation Jump to search
(Created page with "Category:Security (Русский) {{i18n|Users and Groups}} {{Translateme}} {{Article summary start}} {{Article summary text|Эта статья о том, как доба...")
 
Line 30: Line 30:
 
:''ОС семейства UNIX созданы следуя нескольким единым идеям и концептам, которые отразились в их дизайне, интерфейсе, культуре и эволюции. Одна из важнейших таких идей: "все - это файл"''
 
:''ОС семейства UNIX созданы следуя нескольким единым идеям и концептам, которые отразились в их дизайне, интерфейсе, культуре и эволюции. Одна из важнейших таких идей: "все - это файл"''
  
:''Этот ключевой принцип состоит в предоставлении единой парадигмы для доступ к широкому кругу устройств ввода/вывода: документы, директории, жесткие диски, CD-диски, модемы, клавиотуры, принтеры, мониторы, терминалы и даже некоторые межпроцессовые взаимодействия и сетевые соединения. Фокус в том, чтобы предоставить простые абстракции для всех этих ресурсов, каждую из которых отцы UNIX назвали "файлом". Так как каждый доступ к любому "файл" можно получить через один и тот же интерфейс(API, не путать с GUI), вы можете использовать один и тот же набор базовых команд для чтения/записи диска, клавиатуры документа или сетевого устройства.''
+
:''Этот ключевой принцип состоит в предоставлении единой парадигмы для доступ к широкому кругу устройств ввода/вывода: документы, директории, жесткие диски, CD-диски, модемы, клавиотуры, принтеры, мониторы, терминалы и даже некоторые межпроцессовые взаимодействия и сетевые соединения. Фокус в том, чтобы предоставить простые абстракции для всех этих ресурсов, каждую из которых отцы UNIX назвали "файлом". Так как доступ к любому "файл" можно получить через один и тот же интерфейс(API, не путать с GUI), вы можете использовать один и тот же набор базовых команд для чтения/записи диска, клавиатуры документа или сетевого устройства.''
 
  [http://www.intel-research.net/Publications/Pittsburgh/101220041324_277.pdf Extending UNIX File Abstraction for General-Purpose Networking]:
 
  [http://www.intel-research.net/Publications/Pittsburgh/101220041324_277.pdf Extending UNIX File Abstraction for General-Purpose Networking]:
  

Revision as of 17:48, 16 July 2011

This template has only maintenance purposes. For linking to local translations please use interlanguage links, see Help:i18n#Interlanguage links.


Local languages: Català – Dansk – English – Español – Esperanto – Hrvatski – Indonesia – Italiano – Lietuviškai – Magyar – Nederlands – Norsk Bokmål – Polski – Português – Slovenský – Česky – Ελληνικά – Български – Русский – Српски – Українська – עברית – العربية – ไทย – 日本語 – 正體中文 – 简体中文 – 한국어


External languages (all articles in these languages should be moved to the external wiki): Deutsch – Français – Română – Suomi – Svenska – Tiếng Việt – Türkçe – فارسی

Tango-preferences-desktop-locale.pngThis article or section needs to be translated.Tango-preferences-desktop-locale.png

Notes: please use the first argument of the template to provide more detailed indications. (Discuss in Talk:Users and groups (Русский)#)

Template:Article summary start Template:Article summary text Template:Article summary heading Template:Article summary text Template:Article summary end

Пользователи и группы пользователей используются на GNU/Linux для управления доступом — то есть, для управления доступом к системным файлам, каталогам и переферии. Linux предлагает относительно простые и грубые механизмы контроля доступа по умолчанию. Для более продвинутых вариантов, см. ACL и LDAP Authentication

Обзор

Пользователь это любой кто использует компьютер. Имена пользователей могут быть любыми, например Mary или Bill, или псевдонимы вместо реальных имен, например Dragonlady или Pirate. Единственное что важно — это то что у компьютера есть имя для каждого созданного аккаунту, и то, что это имя, с помощью которого человек получает доступ к компьютеру. Некоторые службы и программы также запускаются с ограниченными или полными правами.

Управление аккаунтами пользователей используется в целях безопасности, ограничивая доступ несколькими способами.

Любой человек может иметь один и более аккаунт, поэтому каждому аккаунту должно соответствовать уникальное имя. Также есть несколько зарезервированных имен, которые нельзя использовать, например "root", "hal", и "adm".

Пользователи могут быть объединены в группы, и в зависимости от того в каких группах состоят пользователи их привилегии будут различаться.

Note: Новичкам стоит использовать эти инструменты аккуратно и воздержаться от изменения уже созданных аккаунтов, кроме своего.

Права и собственность

From In UNIX Everything is a File:

ОС семейства UNIX созданы следуя нескольким единым идеям и концептам, которые отразились в их дизайне, интерфейсе, культуре и эволюции. Одна из важнейших таких идей: "все - это файл"
Этот ключевой принцип состоит в предоставлении единой парадигмы для доступ к широкому кругу устройств ввода/вывода: документы, директории, жесткие диски, CD-диски, модемы, клавиотуры, принтеры, мониторы, терминалы и даже некоторые межпроцессовые взаимодействия и сетевые соединения. Фокус в том, чтобы предоставить простые абстракции для всех этих ресурсов, каждую из которых отцы UNIX назвали "файлом". Так как доступ к любому "файл" можно получить через один и тот же интерфейс(API, не путать с GUI), вы можете использовать один и тот же набор базовых команд для чтения/записи диска, клавиатуры документа или сетевого устройства.
Extending UNIX File Abstraction for General-Purpose Networking:
A fundamental and very powerful, consistent abstraction provided in UNIX and compatible operating systems is the file abstraction. Many OS services and device interfaces are implemented to provide a file or file system metaphor to applications. This enables new uses for, and greatly increases the power of, existing applications — simple tools designed with specific uses in mind can, with UNIX file abstractions, be used in novel ways. A simple tool, such as cat, designed to read one or more files and output the contents to standard output, can be used to read from I/O devices through special device files, typically found under the Template:Filename directory. On many systems, audio recording and playback can be done simply with the commands, "Template:Codeline" and "Template:Codeline," respectively.

Every file on a GNU/Linux system is owned by a user and a group. In addition, there are three types of access permissions: read, write, and execute. Different access permissions can be applied to a file's owning user, owning group, and others (those without ownership). One can determine a file's owners and permissions by viewing the long listing format of the Template:Codeline command:

Template:Command

The first column displays the file's permissions (for example, the file Template:Filename has permissions Template:Codeline). The third and fourth columns display the file's owning user and group, respectively. In this example, all files are owned by the root user and the root group.

Template:Command

In this example, the Template:Filename directory is owned by the root user and the vboxsf group. It is also possible to determine a file's owners and permissions using the stat command:

Owning user:

Template:Command

Owning group:

Template:Command

Access rights:

Template:Command

Access permissions are displayed in three groups of characters, representing the permissions of the owning user, owning group, and others, respectively. For example, the characters Template:Codeline indicate that the file's owner has read and write permission, but not execute (Template:Codeline), whilst users belonging to the owning group and other users have only read permission (Template:Codeline and Template:Codeline). Meanwhile, the characters Template:Codeline indicate that the file's owner and users belonging to the owning group all have read, write, and execute permissions (Template:Codeline and Template:Codeline), whilst other users are denied access (Template:Codeline). The first character represents the file's type.

List files owned by a user or group with the Template:Codeline command:

# find / -group [group]
# find / -user [user]

A file's owning user and group can be changed with the Template:Codeline (change owner) command. A file's access permissions can be changed with the Template:Codeline (change mode) command.

See man chown, man chmod, and Linux file permissions for additional detail.

Tango-view-fullscreen.pngThis article or section needs expansion.Tango-view-fullscreen.png

Reason: please use the first argument of the template to provide a brief explanation. (Discuss in Talk:Users and groups (Русский)#)

User management

Local user information is stored in the Template:Filename file. To list all user accounts on the system:

$ cat /etc/passwd

There is one line per account, and each is of the format:

account:password:UID:GID:GECOS:directory:shell

where:

  • account is the user name
  • password is the user password
  • UID is the numerical user ID
  • GID is the numerical primary group ID for the user
  • GECOS is an optional field used for informational purposes; usually it contains the full user name
  • directory is the user's Template:Codeline directory
  • shell is the user command interpreter (defaults to Template:Filename)
Note: Arch Linux uses shadowed passwords. The Template:Filename file is world-readable, so storing passwords (hashed or otherwise) in this file would be insecure. Instead, the password field will contain a placeholder character (x) indicating that the hashed password is saved in the access-restricted file Template:Filename.

To list users currently logged on the system, the Template:Codeline command can be used.

To add a new user, use the Template:Codeline command:

# useradd -m -g [initial_group] -G [additional_groups] -s [login_shell] [username]
  • -m creates the user home directory as Template:Filename; within his home directory, a non-root user can write files, delete them, install programs, and so on.
  • -g defines the group name or number of the user's initial login group; the group name must exist; if a group number is provided, it must refer to an already existing group; if not specified, the behavior of useradd will depend on the USERGROUPS_ENAB variable contained in /etc/login.defs.
  • -G introduces a list of supplementary groups which the user is also a member of; each group is separated from the next by a comma, with no intervening spaces; the default is for the user to belong only to the initial group.
  • -s defines the path and filename of the user's default login shell; Arch Linux init scripts use Bash; after the boot process is complete, the default login shell is the one specified here; ensure the chosen shell package is installed if choosing something other than Bash.

A typical desktop system example, adding a user named archie specifying bash as the login shell:

# useradd -m -g users -G audio,lp,optical,storage,video,wheel,games,power,scanner -s /bin/bash archie

For more advanced uses of useradd, type:

$ man useradd

To enter user informations for the GECOS field (e.g. the full user name), type:

# chfn [username]

(this way Template:Codeline runs in interactive mode).

To specify the user's password, type:

# passwd [username]

An interactive tool is available for adding users:

# adduser

Template:Codeline asks common questions about the user with sane defaults and constructs a Template:Codeline command to run. It also changes finger information and sets the password, thus carrying out also the job of Template:Codeline and Template:Codeline.

User accounts may be deleted with the Template:Codeline command.

# userdel -r [username]

The Template:Codeline option specifies that the user's home directory and mail spool should also be deleted.

Group management

Template:Filename is the file that defines the groups on the system (Template:Codeline for details).

Display group membership with the Template:Codeline command:

$ groups [user]

If Template:Codeline is omitted, the current user's group names are displayed.

The Template:Codeline command provides additional detail, such as the user's UID and associated GIDs:

$ id [user]

To list all groups on the system:

$ cat /etc/group

Create new groups with the Template:Codeline command:

# groupadd [group]

Add users to a group with the Template:Codeline command:

# gpasswd -a [user] [group]

To delete existing groups:

# groupdel [group]

To remove users from a group:

# gpasswd -d [user] [group]

If the user is currently logged in, he/she must log out and in again for the change to have effect.

Groups

Workstation/desktop users often add their non-root user to the following groups to allow access to peripherals and other hardware and facilitate system administration:

  • audio
  • floppy
  • lp
  • network
  • optical
  • power
  • storage
  • video
  • wheel
A list of groups and their function (sorted alphabetically)
Group Affected files Purpose
adm Template:Filename Read access to log files.
audio Template:Filename, Template:Filename, Template:Filename Access to sound hardware.
avahi
bin Template:Filename Right to modify binaries only by root, but right to read or executed by anyone. (Please modify this for better understanding...)
camera Access to Digital Cameras.
clamav Template:Filename, Template:Filename Used by Clam AntiVirus.
daemon
dbus Template:Filename
disk Template:Filename, Template:Filename, Template:Filename Access to block devices not affected by other groups such as optical, floppy, and storage.
floppy Template:Filename Access to floppy drives.
ftp Template:Filename
games Template:Filename Access to some game software.
gdm
hal Template:Filename, Template:Filename
http
kmem Template:Filename, Template:Filename, Template:Filename
locate Template:Filename, Template:Filename, Template:Filename, Template:Filename Right to use Template:Codeline command.
log Template:Filename Access to log files in Template:Filename,
lp Template:Filename, Template:Filename, Template:Filename, Template:Filename Access to printer hardware; enables the user to manage print jobs.
mem
mail Template:Filename
network Right to change network settings such as when using NetworkManager.
networkmanager Requirement for your user to connect wirelessly with NetworkManager. This group is not included with Arch by default so it must be added manually.
nobody Unprivileged group.
ntp
optical Template:Filename, Template:Filename Access to optical devices such as CD and DVD drives.
policykit
power Right to use suspend utilities and power management controls.
rfkill
root Template:Filename Complete system administration and control (root, admin).
scanner Template:Filename Access to scanner hardware.
smmsp Template:Codeline group
storage Access to removable drives such as USB hard drives, flash/jump drives, MP3 players; enables the user to mount storage devices through HAL and D-Bus.
stb-admin
sys Right to admin printers in CUPS.
thinkpad Template:Filename Used by ThinkPad users for access to tools such as tpb.
tty Template:Filename, Template:Filename, Template:Filename, Template:Filename Eg. to acces /dev/ACMx
users Standard users group.
uucp Template:Filename, Template:Filename Serial and USB devices such as modems, handhelds, RS-232/serial ports.
vboxusers Template:Filename Right to use VirtualBox software.
video Template:Filename, Template:Filename Access to video capture devices, DRI/3D hardware acceleration (X can be used without belonging to this group).
vmware Right to use VMware software.
wheel Right to use sudo (setup with Template:Codeline), also affected by PAM.