創(chuàng)建用戶的12個步驟
1���、分配一個惟一的UID
查看系統(tǒng)策略中是否有關(guān)于選擇UID的規(guī)定���。使用下一個可用的UID,然后確保它不是保留UID�,沒有其他的用戶使用,或者沒有與安裝文件系統(tǒng)的遠(yuǎn)程服務(wù)器中的UID發(fā)生沖突����。
2、選擇一個默認(rèn)的GID
查看系統(tǒng)策略中是否有關(guān)于選擇GID的規(guī)定��,并且判斷哪個GID適合于該用戶使用�����。
檢查用戶是否需要添加到任何其他組中�,無論是本地(在/etc/groups中)或者遠(yuǎn)程(如在NIS netgroups映射中)。
3��、分配一個唯一的用戶名
查看系統(tǒng)策略中關(guān)于生成用戶名的規(guī)定����。以確保推薦使用的用戶名不屬于保留范疇,并且沒有其他用戶使用��。
4����、分配home目錄空間
查看系統(tǒng)策略中是否有關(guān)于分配新用戶home目錄的規(guī)定。確保系統(tǒng)中有足夠的空間用于創(chuàng)建用戶���,還要分配額外的合理空間���,使用戶可以創(chuàng)建文件��。
5���、選擇shell
查看系統(tǒng)策略中是否有關(guān)于選擇新用戶登錄shell的規(guī)定�����。以確認(rèn)在所有相關(guān)的系統(tǒng)中都有推薦使用的shell��,并且存在于/etc/shells中���。
6、創(chuàng)建/etc/passwd項
在前一個步驟所選擇的參數(shù)的基礎(chǔ)上���,使用vipw手動在/etc/passwd文件中創(chuàng)建一個項���。注意��,大家可以使用任意文本編輯器來完成這項工作���,但vipw會進(jìn)行文件鎖檢查,并且可以防止損壞root項����。
或者立即禁用新帳戶,或者為它設(shè)置一個安全的密碼�����。
7�����、在必要時修改/etc/group和netgroups
編輯/etc/group文件����,另外還要修改新用戶的非默認(rèn)組所有權(quán)。
8���、創(chuàng)建home目錄
使用mkdir命令來創(chuàng)建用戶選擇的home目錄���。
9��、復(fù)制配置文件
查看系統(tǒng)策略中關(guān)于本地策略��、幫助和點文件的規(guī)定�����,將它們復(fù)制到用戶相應(yīng)的home目錄中�。
10�����、設(shè)置配額
查看系統(tǒng)策略中關(guān)于在home和其它文件系統(tǒng)中設(shè)置 配額的規(guī)定�。為每個文件系統(tǒng)設(shè)置配額��。
11����、設(shè)置所有權(quán)
用戶需要有權(quán)訪問自己的home目錄和文件。使用chown -Rh命令來設(shè)置用戶和組所有權(quán)����。使用該選項時�,chown命令可以遞歸瀏覽所有的子目錄����,但不會廢棄(dereference)任何符號鏈接���。
12���、測試
花一些時間來驗證新用戶賬戶——這樣可以省去很多麻煩。以用戶身份登錄�,進(jìn)入用戶預(yù)訂的環(huán)境(如果可能)。
刪除用戶的12個步驟
1�����、刪除帳戶的步驟
1)先鎖定用戶帳戶�����,可使用passwd命令
2)使用戶所有文件失效�,find / -user UID -xdev -exec {} chmod 000 \; ,這里-xdev的作用是只在本文件系統(tǒng)中搜索。默認(rèn)情況下�����,find命令不會廢棄鏈接文件,他只是修改鏈接文件的所有者�����,而不是鏈接文件所指向的文件的所有者�����。
3)查看用戶的狀態(tài)�����,要確保用戶沒有登錄到系統(tǒng)中�����,也沒有某個進(jìn)程正在使用該用戶�����。
4)將賬戶信息和用戶所屬文件(用戶的home目錄)�����,包括郵件備份到可移動存儲上�。
5)郵件轉(zhuǎn)發(fā)處理
6)檢查哪些文件系統(tǒng)為用戶設(shè)置了配額。
7)刪除/etc/passwd和/etc/shadow中的項���,用vipw刪除����,運行pwck來確保文件的一致性���。調(diào)用pwconv來更新shadow文件的內(nèi)容�����。要記住��,一旦從主email服務(wù)器中刪除/etc/passwd項,用戶就不能再接受本地郵件����。用戶名和UID可以返回到池中,以供新帳戶使用�,但是在一段時間內(nèi)�����,不應(yīng)該再次進(jìn)行分配�,防止用戶恢復(fù)使用。
8)從/etc/group中刪除對用戶名的引用����,運行g(shù)rpck來驗證文件的一致性。
9)刪除home目錄及相關(guān)文件�。
10)刪除郵件目錄
11)查看無主文件�,find / -xdev -nouser,不要自動刪除無主文件,某些關(guān)鍵的系統(tǒng)文件屬于不存在的用戶,這種情況有其合法原因,也可能是因為疏忽。
12)刪除用戶配額�。
在確定用戶處于非活動狀態(tài)后就可以使用userdel -r命令來刪除用戶賬戶��。但是該命令的用途很有限���,有些功能還需要手動去執(zhí)行和檢查。
關(guān)于UNIX用戶管理的注意點
最佳操作
對策略的考慮
l 提前定義策略。
l 了解可以忽視和違反策略的人。
l 確保所有的管理員都知道策略,并且在適當(dāng)?shù)臅r候可以很好地使用。
l 清晰地定義可以用帳戶的人。
l 清晰地定義生成用戶名的方式。
l 清晰地定義指派帳戶�����、發(fā)布帳戶和回收帳戶的方式。
對用戶名和UID的操作
l 強(qiáng)制用戶與帳戶一對一地映射。
l 將小于100的UID保留為系統(tǒng)帳戶。
l 保證UID的惟一性。
l 保證用戶名的惟一性。
l 定期運行pwck。
對組名和GID的操作
l 保證GID的惟一性���。
l 保證組名的惟一性。
l 盡可能指派小于60000的GID
l 不要讓用戶超出本地最大的組成員數(shù)(通常是16)
l 定期運行g(shù)rpck(如果提供gpasswd����,就要提高運行頻率)
帳戶鎖定時的操作
l 強(qiáng)制鎖定失敗的登錄嘗試����。
l 在密碼散列值域中使用特殊字符“*”和“!”�。最好使用特定的字符短語,如“*LK*”�����。
l 雖然從技術(shù)上來講可以清空密碼散列值域,但是不要這樣做����。
l 通過就愛那個登錄shell指定為/dev/null或者/bin/true或者/bin/false�����,來鎖定shell訪問����。
