UNIX中用戶賬戶的創(chuàng)建、刪除和管理

創(chuàng)建用戶的12個(gè)步驟

1、分配一個(gè)惟一的UID
      查看系統(tǒng)策略中是否有關(guān)于選擇UID的規(guī)定。使用下一個(gè)可用的UID，然后確保它不是保留UID，沒(méi)有其他的用戶使用，或者沒(méi)有與安裝文件系統(tǒng)的遠(yuǎn)程服務(wù)器中的UID發(fā)生沖突。
2、選擇一個(gè)默認(rèn)的GID
      查看系統(tǒng)策略中是否有關(guān)于選擇GID的規(guī)定，并且判斷哪個(gè)GID適合于該用戶使用。
      檢查用戶是否需要添加到任何其他組中，無(wú)論是本地（在/etc/groups中）或者遠(yuǎn)程（如在NIS netgroups映射中）。
3、分配一個(gè)唯一的用戶名
      查看系統(tǒng)策略中關(guān)于生成用戶名的規(guī)定。以確保推薦使用的用戶名不屬于保留范疇，并且沒(méi)有其他用戶使用。
4、分配home目錄空間
      查看系統(tǒng)策略中是否有關(guān)于分配新用戶home目錄的規(guī)定。確保系統(tǒng)中有足夠的空間用于創(chuàng)建用戶，還要分配額外的合理空間，使用戶可以創(chuàng)建文件。
5、選擇shell
      查看系統(tǒng)策略中是否有關(guān)于選擇新用戶登錄shell的規(guī)定。以確認(rèn)在所有相關(guān)的系統(tǒng)中都有推薦使用的shell，并且存在于/etc/shells中。
6、創(chuàng)建/etc/passwd項(xiàng)
      在前一個(gè)步驟所選擇的參數(shù)的基礎(chǔ)上，使用vipw手動(dòng)在/etc/passwd文件中創(chuàng)建一個(gè)項(xiàng)。注意，大家可以使用任意文本編輯器來(lái)完成這項(xiàng)工作，但vipw會(huì)進(jìn)行文件鎖檢查，并且可以防止損壞root項(xiàng)。
      或者立即禁用新帳戶，或者為它設(shè)置一個(gè)安全的密碼。
7、在必要時(shí)修改/etc/group和netgroups
      編輯/etc/group文件，另外還要修改新用戶的非默認(rèn)組所有權(quán)。
8、創(chuàng)建home目錄
      使用mkdir命令來(lái)創(chuàng)建用戶選擇的home目錄。
9、復(fù)制配置文件
      查看系統(tǒng)策略中關(guān)于本地策略、幫助和點(diǎn)文件的規(guī)定，將它們復(fù)制到用戶相應(yīng)的home目錄中。
10、設(shè)置配額
      查看系統(tǒng)策略中關(guān)于在home和其它文件系統(tǒng)中設(shè)置 配額的規(guī)定。為每個(gè)文件系統(tǒng)設(shè)置配額。
11、設(shè)置所有權(quán)    
        用戶需要有權(quán)訪問(wèn)自己的home目錄和文件。使用chown -Rh命令來(lái)設(shè)置用戶和組所有權(quán)。使用該選項(xiàng)時(shí)，chown命令可以遞歸瀏覽所有的子目錄，但不會(huì)廢棄（dereference）任何符號(hào)鏈接。
12、測(cè)試
       花一些時(shí)間來(lái)驗(yàn)證新用戶賬戶——這樣可以省去很多麻煩。以用戶身份登錄，進(jìn)入用戶預(yù)訂的環(huán)境（如果可能）。

刪除用戶的12個(gè)步驟

1、刪除帳戶的步驟
     1）先鎖定用戶帳戶，可使用passwd命令
     2）使用戶所有文件失效，find / -user UID -xdev -exec {} chmod 000 \;    ,這里-xdev的作用是只在本文件系統(tǒng)中搜索。默認(rèn)情況下，find命令不會(huì)廢棄鏈接文件，他只是修改鏈接文件的所有者，而不是鏈接文件所指向的文件的所有者。
     3）查看用戶的狀態(tài)，要確保用戶沒(méi)有登錄到系統(tǒng)中，也沒(méi)有某個(gè)進(jìn)程正在使用該用戶。
     4）將賬戶信息和用戶所屬文件（用戶的home目錄），包括郵件備份到可移動(dòng)存儲(chǔ)上。
     5）郵件轉(zhuǎn)發(fā)處理
     6）檢查哪些文件系統(tǒng)為用戶設(shè)置了配額。
     7）刪除/etc/passwd和/etc/shadow中的項(xiàng)，用vipw刪除，運(yùn)行pwck來(lái)確保文件的一致性。調(diào)用pwconv來(lái)更新shadow文件的內(nèi)容。要記住，一旦從主email服務(wù)器中刪除/etc/passwd項(xiàng)，用戶就不能再接受本地郵件。用戶名和UID可以返回到池中，以供新帳戶使用，但是在一段時(shí)間內(nèi)，不應(yīng)該再次進(jìn)行分配，防止用戶恢復(fù)使用。
    8）從/etc/group中刪除對(duì)用戶名的引用，運(yùn)行g(shù)rpck來(lái)驗(yàn)證文件的一致性。
    9）刪除home目錄及相關(guān)文件。
    10）刪除郵件目錄
    11）查看無(wú)主文件，find / -xdev -nouser,不要自動(dòng)刪除無(wú)主文件，某些關(guān)鍵的系統(tǒng)文件屬于不存在的用戶，這種情況有其合法原因，也可能是因?yàn)槭韬觥?br />    12）刪除用戶配額。
在確定用戶處于非活動(dòng)狀態(tài)后就可以使用userdel -r命令來(lái)刪除用戶賬戶。但是該命令的用途很有限，有些功能還需要手動(dòng)去執(zhí)行和檢查。   

關(guān)于UNIX用戶管理的注意點(diǎn)

最佳操作
對(duì)策略的考慮
l  提前定義策略。
l  了解可以忽視和違反策略的人。
l  確保所有的管理員都知道策略，并且在適當(dāng)?shù)臅r(shí)候可以很好地使用。
l  清晰地定義可以用帳戶的人。
l  清晰地定義生成用戶名的方式。
l  清晰地定義指派帳戶、發(fā)布帳戶和回收帳戶的方式。
對(duì)用戶名和UID的操作
l  強(qiáng)制用戶與帳戶一對(duì)一地映射。
l  將小于100的UID保留為系統(tǒng)帳戶。
l  保證UID的惟一性。
l  保證用戶名的惟一性。
l  定期運(yùn)行pwck。
對(duì)組名和GID的操作
l  保證GID的惟一性。
l  保證組名的惟一性。
l  盡可能指派小于60000的GID

l  不要讓用戶超出本地最大的組成員數(shù)（通常是16）
l  定期運(yùn)行g(shù)rpck（如果提供gpasswd，就要提高運(yùn)行頻率）
帳戶鎖定時(shí)的操作
l  強(qiáng)制鎖定失敗的登錄嘗試。
l  在密碼散列值域中使用特殊字符“*”和“！”。最好使用特定的字符短語(yǔ)，如“*LK*”。
l  雖然從技術(shù)上來(lái)講可以清空密碼散列值域，但是不要這樣做。
l  通過(guò)就愛(ài)那個(gè)登錄shell指定為/dev/null或者/bin/true或者/bin/false，來(lái)鎖定shell訪問(wèn)。