創建用戶的12個步驟

1、分配一個惟一的UID
      查看系統策略中是否有關于選擇UID的規定。使用下一個可用的UID，然后確保它不是保留UID，沒有其他的用戶使用，或者沒有與安裝文件系統的遠程服務器中的UID發生沖突。
2、選擇一個默認的GID
      查看系統策略中是否有關于選擇GID的規定，并且判斷哪個GID適合于該用戶使用。
      檢查用戶是否需要添加到任何其他組中，無論是本地（在/etc/groups中）或者遠程（如在NIS netgroups映射中）。
3、分配一個唯一的用戶名
      查看系統策略中關于生成用戶名的規定。以確保推薦使用的用戶名不屬于保留范疇，并且沒有其他用戶使用。
4、分配home目錄空間
      查看系統策略中是否有關于分配新用戶home目錄的規定。確保系統中有足夠的空間用于創建用戶，還要分配額外的合理空間，使用戶可以創建文件。
5、選擇shell
      查看系統策略中是否有關于選擇新用戶登錄shell的規定。以確認在所有相關的系統中都有推薦使用的shell，并且存在于/etc/shells中。
6、創建/etc/passwd項
      在前一個步驟所選擇的參數的基礎上，使用vipw手動在/etc/passwd文件中創建一個項。注意，大家可以使用任意文本編輯器來完成這項工作，但vipw會進行文件鎖檢查，并且可以防止損壞root項。
      或者立即禁用新帳戶，或者為它設置一個安全的密碼。
7、在必要時修改/etc/group和netgroups
      編輯/etc/group文件，另外還要修改新用戶的非默認組所有權。
8、創建home目錄
      使用mkdir命令來創建用戶選擇的home目錄。
9、復制配置文件
      查看系統策略中關于本地策略、幫助和點文件的規定，將它們復制到用戶相應的home目錄中。
10、設置配額
      查看系統策略中關于在home和其它文件系統中設置 配額的規定。為每個文件系統設置配額。
11、設置所有權    
        用戶需要有權訪問自己的home目錄和文件。使用chown -Rh命令來設置用戶和組所有權。使用該選項時，chown命令可以遞歸瀏覽所有的子目錄，但不會廢棄（dereference）任何符號鏈接。
12、測試
       花一些時間來驗證新用戶賬戶——這樣可以省去很多麻煩。以用戶身份登錄，進入用戶預訂的環境（如果可能）。

刪除用戶的12個步驟

1、刪除帳戶的步驟
     1）先鎖定用戶帳戶，可使用passwd命令
     2）使用戶所有文件失效，find / -user UID -xdev -exec {} chmod 000 \;    ,這里-xdev的作用是只在本文件系統中搜索。默認情況下，find命令不會廢棄鏈接文件，他只是修改鏈接文件的所有者，而不是鏈接文件所指向的文件的所有者。
     3）查看用戶的狀態，要確保用戶沒有登錄到系統中，也沒有某個進程正在使用該用戶。
     4）將賬戶信息和用戶所屬文件（用戶的home目錄），包括郵件備份到可移動存儲上。
     5）郵件轉發處理
     6）檢查哪些文件系統為用戶設置了配額。
     7）刪除/etc/passwd和/etc/shadow中的項，用vipw刪除，運行pwck來確保文件的一致性。調用pwconv來更新shadow文件的內容。要記住，一旦從主email服務器中刪除/etc/passwd項，用戶就不能再接受本地郵件。用戶名和UID可以返回到池中，以供新帳戶使用，但是在一段時間內，不應該再次進行分配，防止用戶恢復使用。
    8）從/etc/group中刪除對用戶名的引用，運行grpck來驗證文件的一致性。
    9）刪除home目錄及相關文件。
    10）刪除郵件目錄
    11）查看無主文件，find / -xdev -nouser,不要自動刪除無主文件，某些關鍵的系統文件屬于不存在的用戶，這種情況有其合法原因，也可能是因為疏忽。
    12）刪除用戶配額。
在確定用戶處于非活動狀態后就可以使用userdel -r命令來刪除用戶賬戶。但是該命令的用途很有限，有些功能還需要手動去執行和檢查。   

關于UNIX用戶管理的注意點

最佳操作
對策略的考慮
l  提前定義策略。
l  了解可以忽視和違反策略的人。
l  確保所有的管理員都知道策略，并且在適當的時候可以很好地使用。
l  清晰地定義可以用帳戶的人。
l  清晰地定義生成用戶名的方式。
l  清晰地定義指派帳戶、發布帳戶和回收帳戶的方式。
對用戶名和UID的操作
l  強制用戶與帳戶一對一地映射。
l  將小于100的UID保留為系統帳戶。
l  保證UID的惟一性。
l  保證用戶名的惟一性。
l  定期運行pwck。
對組名和GID的操作
l  保證GID的惟一性。
l  保證組名的惟一性。
l  盡可能指派小于60000的GID

l  不要讓用戶超出本地最大的組成員數（通常是16）
l  定期運行grpck（如果提供gpasswd，就要提高運行頻率）
帳戶鎖定時的操作
l  強制鎖定失敗的登錄嘗試。
l  在密碼散列值域中使用特殊字符“*”和“！”。最好使用特定的字符短語，如“*LK*”。
l  雖然從技術上來講可以清空密碼散列值域，但是不要這樣做。
l  通過就愛那個登錄shell指定為/dev/null或者/bin/true或者/bin/false，來鎖定shell訪問。