关于UNIX用户管理的注意点

最佳操作
对策略的考虑
l  提前定义策略。
l  了解可以忽视和违反策略的人。
l  确保所有的管理员都知道策略，并且在适当的时候可以很好地使用。
l  清晰地定义可以用帐户的人。
l  清晰地定义生成用户名的方式。
l  清晰地定义指派帐户、发布帐户和回收帐户的方式。
对用户名和UID的操作
l  强制用户与帐户一对一地映射。
l  将小于100的UID保留为系统帐户。
l  保证UID的惟一性。
l  保证用户名的惟一性。
l  定期运行pwck。
对组名和GID的操作
l  保证GID的惟一性。
l  保证组名的惟一性。
l  尽可能指派小于60000的GID

l  不要让用户超出本地最大的组成员数（通常是16）
l  定期运行grpck（如果提供gpasswd，就要提高运行频率）
帐户锁定时的操作
l  强制锁定失败的登录尝试。
l  在密码散列值域中使用特殊字符“*”和“！”。最好使用特定的字符短语，如“*LK*”。
l  虽然从技术上来讲可以清空密码散列值域，但是不要这样做。
l  通过就爱那个登录shell指定为/dev/null或者/bin/true或者/bin/false，来锁定shell访问。