關於UNIX用戶管理的注意點
最佳操作
對策略的考慮
l 提前定義策略。
l 了解可以忽視和違反策略的人。
l 確保所有的管理員都知道策略,並且在適當的時候可以很好地使用。
l 清晰地定義可以用帳戶的人。
l 清晰地定義生成用戶名的方式。
l 清晰地定義指派帳戶、發布帳戶和回收帳戶的方式。
對用戶名和UID的操作
l 強制用戶與帳戶一對一地映射。
l 將小於100的UID保留為系統帳戶。
l 保證UID的惟一性。
l 保證用戶名的惟一性。
l 定期運行pwck。
對組名和GID的操作
l 保證GID的惟一性。
l 保證組名的惟一性。
l 盡可能指派小於60000的GID
l 不要讓用戶超出本地最大的組成員數(通常是16)
l 定期運行grpck(如果提供gpasswd,就要提高運行頻率)
帳戶鎖定時的操作
l 強制鎖定失敗的登錄嘗試。
l 在密碼散列值域中使用特殊字符“*”和“!”。最好使用特定的字符短語,如“*LK*”。
l 雖然從技術上來講可以清空密碼散列值域,但是不要這樣做。
l 通過就愛那個登錄shell指定為/dev/null或者/bin/true或者/bin/false,來鎖定shell訪問。