华南俳烁实业有限公司

關(guān)于UNIX用戶管理的注意點

最佳操作
對策略的考慮
l  提前定義策略。
l  了解可以忽視和違反策略的人。
l  確保所有的管理員都知道策略，并且在適當?shù)臅r候可以很好地使用。
l  清晰地定義可以用帳戶的人。
l  清晰地定義生成用戶名的方式。
l  清晰地定義指派帳戶、發(fā)布帳戶和回收帳戶的方式。
對用戶名和UID的操作
l  強制用戶與帳戶一對一地映射。
l  將小于100的UID保留為系統(tǒng)帳戶。
l  保證UID的惟一性。
l  保證用戶名的惟一性。
l  定期運行pwck。
對組名和GID的操作
l  保證GID的惟一性。
l  保證組名的惟一性。
l  盡可能指派小于60000的GID

l  不要讓用戶超出本地最大的組成員數(shù)（通常是16）
l  定期運行g(shù)rpck（如果提供gpasswd，就要提高運行頻率）
帳戶鎖定時的操作
l  強制鎖定失敗的登錄嘗試。
l  在密碼散列值域中使用特殊字符“*”和“！”。最好使用特定的字符短語，如“*LK*”。
l  雖然從技術(shù)上來講可以清空密碼散列值域，但是不要這樣做。
l  通過就愛那個登錄shell指定為/dev/null或者/bin/true或者/bin/false，來鎖定shell訪問。