UNIXでのユーザーアカウントの作成・削除・管理

ユーザーを作成するための12のステップ
1. ユニークなUIDを割り当てる
      システムポリシーにUIDを選択する規定があるかどうかを確認する。次に利用可能なUIDを使用し、それが予約UIDでないこと、他のユーザーによって使用されていないこと、ファイルシステムがインストールされているリモートサーバーのUIDと競合していないことを確認します。
2. デフォルトのGIDを選択する
      システムポリシーを確認し、GIDを選択する規定があるかどうかを確認し、そのユーザーが使用するGIDが適切かどうかを判断します。
      ユーザーを他のグループに追加する必要があるかどうか、ローカル（/etc/groups）またはリモート（例：NIS netgroupsマッピング）で確認します。
3. ユニークなユーザー名を割り当てる
      ユーザ名生成のシステムポリシーを確認し、推奨されるユーザ名が予約カテゴリでないこと、他のユーザがそのユーザ名を使っていないことを確認します。
4. ホームディレクトリの領域確保
      システムポリシーに、新規ユーザーのためのホームディレクトリを割り当てる規定があるかどうかを確認します。システム上にユーザーを作成するための十分なスペースがあることを確認し、また、ユーザーがファイルを作成できるように、さらに妥当なスペースを割り当てる。
5. シェルを選択する
      システムポリシーに新しいユーザーのログインシェルを選択する規定があるかどうかを確認する。推奨されるシェルがすべての関連システムで利用可能で、/etc/shellsに存在することを確認する。 {とします。
6. etc/passwd のエントリーを作成します。
      vipw を使用して、前のステップで選択したパラメータに基づいて、手動で /etc/passwd ファイルにエントリを作成します。これを行うために、任意のテキストエディタを使用することができますが、 vipw はファイルロックチェックを実行し、ルートエントリの破損を防ぐことに注意してください。
      新しいアカウントをすぐに無効にするか、安全なパスワードを設定してください。
7. 7. 必要に応じて /etc/groups と netgroups を変更する。
      etc/groupファイルを編集し、新規ユーザーのデフォルトでないグループの所有権も変更します。
8. ホームディレクトリの作成
      mkdirコマンドを使用して、ユーザーが選択したホームディレクトリを作成します。
9. 設定ファイルをコピーする
      ローカルポリシー、ヘルプ、ポイントファイルについてシステムポリシーを確認し、ユーザーの対応するホームディレクトリにコピーします。
10. クォータを設定する
      ホームや他のファイルシステムにクォータを設定するためのシステムポリシーを確認します。各ファイルシステムにクォータを設定する。
/
11. セット所有権    
        ユーザーは、自分のホームディレクトリやファイルにアクセスする必要があります。ユーザーとグループの所有権を設定するには、chown -Rh コマンドを使用します。このオプションを使用すると、chown コマンドはすべてのサブディレクトリを再帰的に参照しますが、シンボリックリンクは破棄しません (dereference)。 {また，このオプションは
12.テスト
       新しいユーザーアカウントを確認するために時間をかけてください - これは多くの手間を省きます。そのユーザーとしてログインし、そのユーザーの予約環境に入る（可能な場合）。

ユーザーを削除する12のステップ

1. アカウント削除の手順
     1) まずユーザーアカウントをロックします。passwd コマンドを使用します。
     2) ユーザーのすべてのファイルを無効にする find / -user UID -xdev -exec {} chmod 000 \; , ここで -xdev はこのファイルシステム内のみを検索するために使用されます。デフォルトでは，findコマンドはリンクされたファイルを非推奨とせず，リンクされたファイルの所有者を変更するだけで，リンクされたファイルが参照するファイルの所有者は変更しません． {リンク先ファイルの所有者ではなく、リンク先ファイルの所有者を変更します。
     3) ユーザーの状態を確認し、そのユーザーがシステムにログインしていないか、また、何らかのプロセスがそのユーザーを使用していないかを確認します。
     4) アカウント情報とメールを含むユーザーのファイル（ユーザーのホームディレクトリ）をリムーバブルストレージにバックアップする。
     5) メール転送処理
     6) ユーザーにクォータが設定されているファイルシステムを確認します。
     7) etc/passwdと/etc/shadowのエントリーをvipwで削除し、pwckを実行してファイルの整合性を確認します。pwconv を呼び出して、shadow ファイルの内容を更新します。一旦 /etc/passwd のエントリがメインのメールサーバから削除されると、ユーザはもはやローカルメールを受信できないことに留意してください。ユーザー名とUIDは、新しいアカウントで使用するためにプールに戻すことができますが、ユーザーがそれらに戻ることを防ぐために、一定期間再割り当てするべきではありません。
    8) etc/groupからユーザー名への参照を削除し、grpckを実行してファイルの整合性を確認します。
    9) ホームディレクトリと関連ファイルを削除する。
    10) mailディレクトリを削除する
    11) 所有されていないファイルをチェックし、/ -xdev -nouserを見つける、自動的に所有されていないファイルを削除しないでください、いくつかの重要なシステムファイルが存在しないユーザーに属している、この状況は、その正当な理由があるが、また過失に起因するかもしれません。 {また、過失による場合もあります。
    12) ユーザークォータを削除する。
userdel -r コマンドは、ユーザーが非アクティブであると判断された場合、ユーザーアカウントを削除するために使用することができます。ただし、このコマンドの使用方法は非常に限定的であり、一部の機能は手動で実行および確認する必要があります。   

/{br UNIXのユーザー管理に関する注意事項

ベストオペレーション
戦略のための考慮事項
l 事前に戦略を定義する。
l 誰がポリシーを無視し、違反することができるかを知ること。
l すべての管理者がポリシーを理解し、適切なときにうまく使えるようにする。
l アカウントを使用できる人を明確に定義する。
l ユーザー名の生成方法を明確に定義する。
l アカウントの割り当て、アカウントの公開、リコール方法を明確に定義する。
ユーザー名とUIDに関する操作
l ユーザーとアカウントの一対一のマッピングを強制します。
l UID が 100 未満のものをシステムアカウントとして保持します。
l UID が一意であることを確認する。
l ユーザー名の一意性を確保する。
l pwck を定期的に実行します。
グループ名とGIDに関する操作
l GIDの一意性を確保する。
l グループ名の一意性を確保する。
l 可能な限り60,000より小さいGIDを割り当てる。

l ローカルグループの最大メンバー数（通常16名）を超えないようにします。
l 定期的にgrpckを実行する（gpasswdが提供されている場合はより頻繁に）。
アカウントがロックされたときの動作
l ログインに失敗した場合、強制的にロックアウトします。
l パスワードハッシュフィールドに特殊文字「*」と「！」を使用する。LK*"のような特定の文字フレーズを使用するのがよいでしょう。
l パスワードハッシュフィールドをクリアすることは技術的に可能ですが、そうしないでください。
l ログインシェルに /dev/null または /bin/true または /bin/false を指定して、シェルアクセスをロックします。