From owner-svn-doc-all@FreeBSD.ORG Fri Oct 25 09:48:56 2013 Return-Path: Delivered-To: svn-doc-all@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTP id 387BD3B5; Fri, 25 Oct 2013 09:48:56 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from svn.freebsd.org (svn.freebsd.org [IPv6:2001:1900:2254:2068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mx1.freebsd.org (Postfix) with ESMTPS id 16B1529F0; Fri, 25 Oct 2013 09:48:56 +0000 (UTC) Received: from svn.freebsd.org ([127.0.1.70]) by svn.freebsd.org (8.14.7/8.14.7) with ESMTP id r9P9mubg096929; Fri, 25 Oct 2013 09:48:56 GMT (envelope-from ryusuke@svn.freebsd.org) Received: (from ryusuke@localhost) by svn.freebsd.org (8.14.7/8.14.5/Submit) id r9P9mtl5096928; Fri, 25 Oct 2013 09:48:55 GMT (envelope-from ryusuke@svn.freebsd.org) Message-Id: <201310250948.r9P9mtl5096928@svn.freebsd.org> From: Ryusuke SUZUKI Date: Fri, 25 Oct 2013 09:48:55 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r43040 - head/ja_JP.eucJP/books/handbook/users X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Mailman-Approved-At: Fri, 25 Oct 2013 12:07:37 +0000 X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.14 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 25 Oct 2013 09:48:56 -0000 Author: ryusuke Date: Fri Oct 25 09:48:55 2013 New Revision: 43040 URL: http://svnweb.freebsd.org/changeset/doc/43040 Log: - Merge the following from the English version: r41037 -> r42873 head/ja_JP.eucJP/books/handbook/users/chapter.xml Submitted by: Yuta MASUMOTO ryusuke Reviewed by: Yuta MASUMOTO ryusuke Modified: head/ja_JP.eucJP/books/handbook/users/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/users/chapter.xml ============================================================================== --- head/ja_JP.eucJP/books/handbook/users/chapter.xml Thu Oct 24 21:24:35 2013 (r43039) +++ head/ja_JP.eucJP/books/handbook/users/chapter.xml Fri Oct 25 09:48:55 2013 (r43040) @@ -3,7 +3,7 @@ The FreeBSD Documentation Project The FreeBSD Japanese Documentation Project - Original revision: r41037 + Original revision: r42873 $FreeBSD$ --> @@ -30,43 +30,31 @@ システムを使うためには、 どのユーザもアカウントがなければなりません。 - この章を読むと、以下のことがわかります。 + この章では、以下のことを説明します。 - &os; のさまざまなユーザアカウントの違い + &os; + システムにおけるさまざまな種類のユーザアカウントについて - ユーザアカウントを追加したり削除する方法 + ユーザアカウントを追加、削除および変更する方法 - ユーザの名前やシェルなど、アカウントの細目を変更する方法 + ユーザやグループが利用できるリソースの上限を制御する方法 - アカウント毎に制限をかけて、メモリや CPU 時間など、 - アカウントやグループに対してアクセスが許可される資源を制御する方法 - - - - アカウント管理を楽にするためのグループの使い方 - - - - この章を読む前に - - - - &unix; と &os; の基礎知識 - を理解しておいてください。 + グループの作成、 + およびグループにユーザをメンバとして追加する方法 - はじめに + アカウントの種類 &os; システムへアクセスするには、 かならずアカウントが使われ、 @@ -74,8 +62,73 @@ ユーザとアカウントの管理は、重要なものです。 - &os; システム上のどのアカウントにも、 - そのアカウントを識別するための情報がなにかしら結び付けられています。 + アカウントには大きく分けて三種類あります。 + システムアカウント (system accounts)、ユーザアカウント (user accounts)、 + そしてスーパーユーザ (superuser) です。 + + + システムアカウント + + + アカウント + システム + + + システムアカウントは、DNS、メール、 + ウェブサーバといった各種サービスを運用するために使われます。 + この目的は、セキュリティを確保するためです。 + もしすべてのサービスがスーパーユーザで実行されていると、 + それらのサービスはどんな動作でも可能となり、 + 適切な制限を適用することができません。 + + + アカウント + daemon + + + アカウント + operator + + + システムアカウントの具体例は、 + daemon, operator, + bind, news および + www といったものです。 + + + アカウント + nobody + + + nobody + は通常の特権を持たないシステムアカウントです。 + しかし、nobody + を利用するサービスが増えれば増えるほど、 + それに所属するファイルやプロセスも増え、 + その特権も大きくなるということを忘れないようにしてください。 + + + + ユーザアカウント + + + アカウント + user + + + ユーザアカウントは、 + 主に現実のユーザがシステムにアクセスする手段として用いられるものです。 + システムにアクセスするすべてのユーザは、 + それぞれ唯一のユーザアカウントを持つべきです。 + こうすることで管理者は誰が何を行なっているかがわかりますし、 + 他の人の設定を壊してしまうようなことを避けることができます。 + + それぞれのユーザは快適にシステムを利用するため、 + シェル、エディタ、キー設定、言語など、 + 各自の環境をセットアップすることができます。 + + &os; システム上のどのアカウントにも、 + 以下のような情報がなにかしら結び付けられています。 @@ -89,7 +142,7 @@ 有効なユーザ名を作成するには &man.passwd.5; に記載されているいくつもの規則があります。 アプリケーションの上位互換性を保つために、 - 8 文字以下の小文字からなるユーザ名が一般的です。 + 8 文字以下の小文字からなるユーザ名を使うことが推奨されています。 @@ -97,10 +150,9 @@ パスワード - それぞれのアカウントにはパスワードがあります。 + それぞれのユーザアカウントにはパスワードがあります。 パスワードは空白にもできますが、 - 行うべきではありません。 - すべてのアカウントにはパスワードをつけるべきです。 + 行うべきではありません。 @@ -109,21 +161,12 @@ ユーザ ID (UID) は、 - システムがユーザを一意に識別するための、 - 伝統的には 0 から 65535 - UIDGID - には 4294967295 までの数を使えますが、 - そのような ID は、ID - の値に対して仮定を置いているソフトウェアで問題を起こす可能性があります。 - の間の数値です。内部的には、&os; はユーザの識別に - UID を使っています。 + &os; システムがユーザを一意に識別するための数値です。 ユーザ名を指定できるコマンドは、 ユーザ名を UID に変換してから扱っています。 - 好ましくありませんが、同じ UID - を持つ異なるユーザ名のアカウントがいくつあってもよいということになります。 - &os; に限っていうと、 - これらのアカウントはひとりのユーザとして扱われます。 + 65535 より大きな UID は、32 + ビット以上の整数に対応していないソフトウェアにおいて互換性の問題を引き起こす可能性があるので、 + 65535 以下の UID を使用することが推奨されています。 @@ -132,12 +175,13 @@ グループ ID (GID) は、 - ユーザが属する第一グループを一意に識別するための、 - 伝統的には 0 から 65535 - の間の数値です。グループは、UID ではなく、 + ユーザが属する第一グループを一意に識別するための数値です。 + グループは、UID ではなく、 ユーザの GID に基づいて資源へのアクセスを制御する仕組みです。 これは、ある種の設定ファイルのサイズを大幅に小さくします。 - ユーザは、複数のグループに所属できます。 + ユーザは、複数のグループに所属できます。 + 65535 より大きな GID は、ソフトウェアに問題を引き起こす可能性があるので、 + 65535 以下の GID を使うことを推奨します。 @@ -147,7 +191,8 @@ ログインクラスはグループの仕組みを拡張したもので、 別々のユーザに対してシステムを調整する時に、 - さらなる柔軟性を提供します。 + さらなる柔軟性を提供します。ログインクラスの詳細については、 + で説明します。 @@ -157,7 +202,8 @@ デフォルトでは、&os; は定期的にパスワードを変更することをユーザに強制しません。 - これをユーザごとに設定して、一部またはすべてのユーザに、 + これを &man.pw.8; を使用してユーザごとに設定し、 + 一部またはすべてのユーザに、 一定の時間がたったらパスワードを強制的に変更させることができます。 @@ -169,7 +215,7 @@ デフォルトでは、&os; はアカウントを失効させません。 たとえば学校で生徒のアカウントがある場合など、 限られた期間だけのアカウントを作成するなら、 - そのアカウントがいつ失効するか指定できます。 + そのアカウントがいつ失効するか &man.pw.8; を使って指定できます。 有効期間が経過したら、 そのアカウントのディレクトリやファイルは残っていますが、 システムへのログインはできなくなります。 @@ -182,7 +228,9 @@ &os; ではユーザ名でアカウントを一意に識別しますが、 必ずしもユーザの本名を反映したものではありません。 - この情報をアカウントに関連付けることもできます。 + この情報をアカウントに関連付けることもできます。 + この情報は、コメントのように、空白、大文字、および + 8 字以上で記載できます。 @@ -214,29 +262,20 @@ + - - アカウントには大きく分けて三種類のものがあります。それは、 - スーパーユーザ (superuser)、 - システムアカウント (system accounts)、 - そしてユーザアカウント (user accounts) です。 - スーパーユーザのアカウントは通常 root と呼ばれ、 - 無制限の特権を持つためにシステムの管理に用いられます。 - また、システムアカウントはサービスの運用に用いられ、 - ユーザアカウントは、 - 実際のユーザに割り当てられ、ログインしてシステムを利用するために使われます。 - - + スーパーユーザアカウント アカウント スーパーユーザ (root) + スーパーユーザアカウントは通常 root と呼ばれ、 - システム管理を行なうために使われます。 - このアカウントはメールのやりとり、システムの調査、 + システム管理を行なうために使われ、権限に制限がありません。 + そのため、このアカウントはメールのやりとり、システムの調査、 プログラミングといった日常的な作業を行なうために使われるべきものではありません。 その理由は、スーパーユーザが通常のユーザアカウントと異なり、 @@ -245,89 +284,58 @@ システムに重大な影響を与えてしまう恐れがあるのです。 ユーザアカウントでは、 仮に操作を間違えてもシステムを壊してしまうようなことはできないようになっています。 - したがって特権を必要としていないのであれば、 - できるだけいつもユーザアカウントを利用する方が望ましいと言えるでしょう。 + そのため、ユーザアカウントでログインし、 + 高い権限が必要なコマンドを実行するときだけスーパーユーザになることが推奨されています。 スーパーユーザで実行するコマンドはいつでも、 二回、三回と確認してください。 なぜならスペースが多かったり、文字が欠けていたりするだけで、 取り返しのつかないデータの破壊につながる可能性があるからです。 - 常にシステム管理者用にユーザアカウントを作成し、 - 一般的な使用においては、そのアカウントを使ってください。 - これはマルチユーザモード、シングルユーザモードを問わず、 - 同様にあてはまります。 - この章のうしろの方では、アカウントの追加と通常のユーザから - スーパーユーザへと移行する手順について扱います。 - - - - システムアカウント - - - アカウント - システム - - システムアカウントとは、DNS、メール、 - ウェブサーバといった各種サービスを運用するために使われます。 - この目的は、セキュリティを確保するためです。 - もしサービスがスーパーユーザで実行されていると、 - それらのサービスは (本来意図しないような) - どんな動作でも可能となり、適切な制限を適用することができません。 - - - アカウント - daemon - - - アカウント - operator - - システムアカウントの具体例として、 - daemon, operator, - bind, news および - www - といったものがあります。 + スーパーユーザの権限を得るには、さまざまな方法があります。 + root ユーザとしてログインする方法もありますが、 + これはまったくお勧めできません。 + + スーパーユーザの権限を手に入れるには、かわりに &man.su.1; + を使って下さい。 + - オプションをつけて実行すると、 + 実行したユーザに root ユーザの環境が設定されます。 + このコマンドは wheel + グループに入ってるユーザのみが実行でき、他のユーザは実行出来ません。 + また、実行時には root + ユーザのパスワードを必要とします。 + + 以下の例では、make install + を行うときにスーパーユーザの権限が必要なので、 + このコマンドを実行する時だけユーザはスーパーユーザになります。 + コマンドを実行したら、ユーザは exit + を実行してスーパーユーザからログアウトし、 + 通常のユーザアカウントの権限に戻ります。 - - アカウント - nobody - - nobody - ユーザは通常の特権を持たないシステムユーザです。 - しかし、nobody - を利用するサービスが増えれば増えるほど、 - それに所属するファイルやプロセスも増え、 - その特権も大きくなるということを忘れないようにしてください。 - - - - ユーザアカウント - - - アカウント - user - - ユーザアカウントは、 - 主に現実のユーザがシステムにアクセスする手段として用いられるものです。 - このアカウントは利用するユーザとシステム環境を分離します。 - そのため、システムや他のユーザに危害をおよぼす危険性をなくし、また、 - 他に影響を与えることなくユーザ自身の環境をカスタマイズすることを可能にしています。 + + スーパーユーザ権限でプログラムをインストールする - システムにアクセスするすべてのユーザは、 - それぞれ唯一のユーザアカウントを持つべきです。 - こうすることで管理者は誰が何を行なっているかがわかりますし、 - 他の人の設定を壊してしまったり、 - 他人のメールを読んでしまうようなことを避けることができます。 + &prompt.user; configure +&prompt.user; make +&prompt.user; su - +Password: +&prompt.root; make install +&prompt.root; exit +&prompt.user; + - それぞれのユーザは快適にシステムを利用するため、 - シェル、エディタ、キー設定、言語など、 - 各自の環境をセットアップすることができます。 - + 1 人の管理者が一台のマシン、 + もしくは小規模なネットワークを管理する場合には、 + &man.su.1; のフレームワークはうまく機能するでしょう。 + この代わりとなるのは、 + security/sudo package または port + です。これはログ機能や、 + スーパーユーザの権限で実行できるユーザやコマンドを設定できます。 + - アカウント情報の変更 + アカウント情報の管理 アカウント @@ -752,14 +760,10 @@ passwd: done coredumpsize - coredumpsize - ユーザに対する制限 - coredumpsize - プログラムが生成する core - ファイルのサイズにかかる制限は、 + ファイルのサイズcoredumpsizeにかかる制限は、 filesize やディスククォータなどの、 - ほかのディスク使用に関する制限に従属します。 + ほかのディスク使用に関する制限ユーザに対する制限coredumpsizeに従属します。 この制限は、ディスク領域の消費を制御するあまり厳しくない手段としてよく使われています。 ユーザは core ファイルを自分で生成するわけではなく、 削除しないことも多いので、 @@ -771,12 +775,7 @@ passwd: done cputime - cputime - - ユーザに対する制限 - cputime - - そのユーザのプロセスが消費できる CPU 時間の上限です。 + そのユーザのプロセスが消費できる CPU 時間cputimeユーザに対する制限cputime の上限です。 これを超えたプロセスは、カーネルにより終了されます。 @@ -792,12 +791,7 @@ passwd: done filesize - filesize - - ユーザに対する制限 - filesize - - ユーザが所有できるファイルの大きさの上限です。ユーザが所有できるファイルの大きさfilesizeユーザに対する制限filesizeの上限です。ディスククォータ と違い、 この制限はユーザのファイルをすべてまとめた集合にではなく、 個々のファイルにかかります。 @@ -808,12 +802,7 @@ passwd: done maxproc - maxproc - - ユーザに対する制限 - maxproc - - ユーザが実行できるプロセス数の上限です。 + ユーザが実行できるプロセス数の上限maxprocユーザに対する制限maxprocです。 フォアグラウンドプロセスとバックグラウンドプロセスの両方を扱います。 この上限は、&man.sysctl.8; 変数 kern.maxproc @@ -831,13 +820,8 @@ passwd: done memorylocked - memorylocked - - ユーザに対する制限 - memorylocked - これは、1 つのプロセスが &man.mlock.2; - によりメインメモリにロックされることを要求できるメモリの最大容量です + によりメインメモリにロックされることを要求できるメモリmemorylockedユーザに対する制限memorylockedの最大容量です。 &man.amd.8; のようなシステムで重要なプログラムは、 メインメモリへロックして、システムがスワップする際に、 ディスクのスラッシングを引き起こさないようにします。 @@ -848,12 +832,8 @@ passwd: done memoryuse - memoryuse - ユーザに対する制限 - memoryuse - これは、どの時点かを問わず、 - あるプロセスが消費できる最大のメモリ容量です。 + あるプロセスが消費できる最大のメモリ容量memoryuseユーザに対する制限memoryuseです。 これは、メインメモリとスワップの使用量を合わせたものです。 メモリ消費を抑えるための包括的な制限ではありませんが、 手始めにはよいでしょう。 @@ -864,11 +844,7 @@ passwd: done openfiles - openfiles - ユーザに対する制限 - openfiles - - これは、あるプロセスが開いておける最大のファイル数です。 + これは、あるプロセスが開いておける最大のファイル数openfilesユーザに対する制限openfilesです。 &os; では、ファイルはまた、ソケットや IPC チャンネルを表わすのにも使われています。 ですから、あまり低い値に設定しないよう注意してください。 @@ -882,12 +858,8 @@ passwd: done sbsize - sbsize - ユーザに対する制限 - sbsize - これは、あるユーザが消費できるネットワークメモリ - (つまり mbuf) の上限の量です。ユーザは、 + (つまり mbufsbsizeユーザに対する制限sbsize) の上限の量です。ユーザは、 ネットワーク通信を制限するのに使えます。 @@ -896,11 +868,8 @@ passwd: done stacksize - stacksize - ユーザに対する制限 - stacksize - - これは、プロセスのスタックサイズの上限です。 + + これは、プロセスのスタックサイズstacksizeユーザに対する制限stacksizeの上限です。 あるプログラムが使用しうるメモリの量を制限するには、 これだけでは十分ではありません。 したがって、他の制限と組み合わせて使わなければなりません。 @@ -956,7 +925,7 @@ passwd: done - グループ + グループの管理 グループ