創建用戶的12個步驟
1、分配一個惟一的UID
查看系統策略中是否有關於選擇UID的規定。使用下一個可用的UID,然後確保它不是保留UID,沒有其他的用戶使用,或者沒有與安裝文件系統的遠程服務器中的UID發生沖突。
2、選擇一個默認的GID
查看系統策略中是否有關於選擇GID的規定,並且判斷哪個GID適合於該用戶使用。
檢查用戶是否需要添加到任何其他組中,無論是本地(在/etc/groups中)或者遠程(如在NIS netgroups映射中)。
3、分配一個唯一的用戶名
查看系統策略中關於生成用戶名的規定。以確保推薦使用的用戶名不屬於保留范疇,並且沒有其他用戶使用。
4、分配home目錄空間
查看系統策略中是否有關於分配新用戶home目錄的規定。確保系統中有足夠的空間用於創建用戶,還要分配額外的合理空間,使用戶可以創建文件。
5、選擇shell
查看系統策略中是否有關於選擇新用戶登錄shell的規定。以確認在所有相關的系統中都有推薦使用的shell,並且存在於/etc/shells中。
6、創建/etc/passwd項
在前一個步驟所選擇的參數的基礎上,使用vipw手動在/etc/passwd文件中創建一個項。注意,大家可以使用任意文本編輯器來完成這項工作,但vipw會進行文件鎖檢查,並且可以防止損壞root項。
或者立即禁用新帳戶,或者為它設置一個安全的密碼。
7、在必要時修改/etc/group和netgroups
編輯/etc/group文件,另外還要修改新用戶的非默認組所有權。
8、創建home目錄
使用mkdir命令來創建用戶選擇的home目錄。
9、復制配置文件
查看系統策略中關於本地策略、幫助和點文件的規定,將它們復制到用戶相應的home目錄中。
10、設置配額
查看系統策略中關於在home和其它文件系統中設置 配額的規定。為每個文件系統設置配額。
11、設置所有權
用戶需要有權訪問自己的home目錄和文件。使用chown -Rh命令來設置用戶和組所有權。使用該選項時,chown命令可以遞歸浏覽所有的子目錄,但不會廢棄(dereference)任何符號鏈接。
12、測試
花一些時間來驗證新用戶賬戶——這樣可以省去很多麻煩。以用戶身份登錄,進入用戶預訂的環境(如果可能)。
刪除用戶的12個步驟
1、刪除帳戶的步驟
1)先鎖定用戶帳戶,可使用passwd命令
2)使用戶所有文件失效,find / -user UID -xdev -exec {} chmod 000 \; ,這裡-xdev的作用是只在本文件系統中搜索。默認情況下,find命令不會廢棄鏈接文件,他只是修改鏈接文件的所有者,而不是鏈接文件所指向的文件的所有者。
3)查看用戶的狀態,要確保用戶沒有登錄到系統中,也沒有某個進程正在使用該用戶。
4)將賬戶信息和用戶所屬文件(用戶的home目錄),包括郵件備份到可移動存儲上。
5)郵件轉發處理
6)檢查哪些文件系統為用戶設置了配額。
7)刪除/etc/passwd和/etc/shadow中的項,用vipw刪除,運行pwck來確保文件的一致性。調用pwconv來更新shadow文件的內容。要記住,一旦從主email服務器中刪除/etc/passwd項,用戶就不能再接受本地郵件。用戶名和UID可以返回到池中,以供新帳戶使用,但是在一段時間內,不應該再次進行分配,防止用戶恢復使用。
8)從/etc/group中刪除對用戶名的引用,運行grpck來驗證文件的一致性。
9)刪除home目錄及相關文件。
10)刪除郵件目錄
11)查看無主文件,find / -xdev -nouser,不要自動刪除無主文件,某些關鍵的系統文件屬於不存在的用戶,這種情況有其合法原因,也可能是因為疏忽。
12)刪除用戶配額。
在確定用戶處於非活動狀態後就可以使用userdel -r命令來刪除用戶賬戶。但是該命令的用途很有限,有些功能還需要手動去執行和檢查。
關於UNIX用戶管理的注意點
最佳操作
對策略的考慮
l 提前定義策略。
l 了解可以忽視和違反策略的人。
l 確保所有的管理員都知道策略,並且在適當的時候可以很好地使用。
l 清晰地定義可以用帳戶的人。
l 清晰地定義生成用戶名的方式。
l 清晰地定義指派帳戶、發布帳戶和回收帳戶的方式。
對用戶名和UID的操作
l 強制用戶與帳戶一對一地映射。
l 將小於100的UID保留為系統帳戶。
l 保證UID的惟一性。
l 保證用戶名的惟一性。
l 定期運行pwck。
對組名和GID的操作
l 保證GID的惟一性。
l 保證組名的惟一性。
l 盡可能指派小於60000的GID
l 不要讓用戶超出本地最大的組成員數(通常是16)
l 定期運行grpck(如果提供gpasswd,就要提高運行頻率)
帳戶鎖定時的操作
l 強制鎖定失敗的登錄嘗試。
l 在密碼散列值域中使用特殊字符“*”和“!”。最好使用特定的字符短語,如“*LK*”。
l 雖然從技術上來講可以清空密碼散列值域,但是不要這樣做。
l 通過就愛那個登錄shell指定為/dev/null或者/bin/true或者/bin/false,來鎖定shell訪問。
