Файл /etc/group содержит имена UNIX-групп и списки членов каждой группы. Например:

Каждая строка представляет одну группу и содержит четыре поля:

• имя группы;

• зашифрованный пароль (устаревшее, редко используемое поле);

• идентификатор группы;

• список членов (разделяются запятыми).

Как и в файле /etc/passwd, поля разделяются двоеточиями. В некоторых системах длина имени группы не должна превышать 8 символов. Несмотря на наличие поля пароля (с помощью которого пользователи могут присоединиться к группе, выполнив команду newgrp), последний задается редко. В большинстве случаев в это поле вводится звездочка (*), но можно оставить его пустым.

Будьте аккуратны, чтобы случайно не вставить пробелы между именами пользователей группы. В большинстве систем любая информация после первого пробела игнорируется.

Имена групп и их идентификаторы должны быть одинаковыми на всех компьютерах, получающих совместный доступ к файлам посредством NFS. Этого трудно достичь в гетерогенной среде, поскольку разные операционные системы используют разные идентификаторы для одних и тех же групп. Мы считаем, что по умолчанию пользователь не должен регистрироваться как член системной группы. Это также касается групп, создаваемых поставщиками, в частности staff.

Чтобы избежать конфликтов, связанных с идентификаторами стандартных групп, рекомендуем выбирать идентификаторы локальных групп, начиная с номера 100 или последнего номера стандартной группы, в зависимости от того, какой из них больше.

Прежде чем создавать учетную запись для нового пользователя, крайне важно потребовать от него подписать соглашение о правилах работы пользователей. (Как?! У вас нет такого соглашения? Немедленно прочтите параграф 27.1, чтобы узнать, для чего нужно подобное соглашение и как его составлять.)

У пользователей нет особых причин подписывать соглашение, поэтому в ваших интересах убедить их сделать это. После того как учетная запись создана, добиться подписи может оказаться проблематично. Так что лучше получить ее заранее.

Процесс подключения нового пользователя состоит из целого ряда этапов. Три из них определяются системными требованиями, два связаны с формированием пользовательской среды, а еще несколько могут понадобиться для целей системного администрирования.

Обязательные этапы:

• отредактировать файлы passwd и shadow с целью создания учетной записи пользователя;

• установить исходный пароль;

• создать начальный каталог для нового пользователя.

Пользовательские этапы:

• скопировать в начальный каталог пользователя стандартные конфигурационные сценарии;

• установить каталог электронной почты и создать почтовые псевдонимы.

Административные этапы:

• добавить запись нового пользователя в файл /etc/group;

• установить дисковые квоты;

• проверить правильность создания учетной записи.

Когда пользователь покидает организацию, его учетная запись и файлы должны быть удалены из системы. Эта процедура охватывает удаление всех ссылок на регистрационное имя, которые были введены вручную или с помощью сценария adduser. Иными словами, необходимо проделать следующее:

• сделать дисковую квоту удаляемого пользователя (если таковые используются) равной нулю;

• удалить пользователя из локальных баз данных и телефонных списков;

• удалить пользовательские псевдонимы из файла aliases, задать перенаправление поступающих ему сообщений;

• стереть пользовательские задания из crontab-файла и из очереди команды at;

• уничтожить пользовательские процессы, которые еще выполняются;

• уничтожить все принадлежащие пользователю временные файлы в каталогах /var/tmp и /tmp;

• удалить записи пользователя из файла passwd и group;

• удалить начальный каталог пользователя;

• удалить почтовый каталог пользователя.

Перед тем как уничтожить начальный каталог пользователя, необходимо переместить из него в другие каталоги все файлы, которые нужны остальным пользователям. Поскольку не всегда можно с уверенностью сказать, какие файлы понадобятся, а какие — нет, лучше скопировать пользовательские начальный и почтовый каталоги на магнитную ленту.

После удаления пользователя убедитесь, что в системе не осталось файлов с его идентификатором. Проще всего сделать это с помощью команды quot. Например, чтобы узнать, каким пользователям принадлежат файлы в каталоге /home, задайте такую команду:

Эта команда не только сообщает число дисковых блоков, занятых файлами каждого пользователя, но также говорит, что два идентификатора не обнаружены в файле /etc/passwd. Чтобы узнать точный путь к этим файлам, выполните следующую команду:

Она будет выполняться гораздо дольше, чем команда quot.

Команда quot работает только с разделами локального диска. Она не может анализировать файловые системы, смонтированные через NFS.

Иногда нужно временно отключить регистрационное имя пользователя. До вторжения сетей в мир UNIX достаточно было просто поставить звездочку перед зашифрованным паролем, чтобы пользователь не смог войти в систему. Тем не менее, он все равно имел возможность входа в систему по сети без указания пароля, поэтому данная методика перестала быть полезной.

Сегодня мы заменяем командный интерпретатор пользователя программой, которая выдает сообщение, поясняющее, почему данное регистрационное имя отключено, и содержащее инструкции по исправлению ситуации. Такой псевдоинтерпретатор не должен быть указан в файле /etc/shells. Многие демоны, предоставляющие нерегистрационный доступ к системе (например, ftpd), проверяют, упомянут ли интерпретатор пользователя в файле /etc/shells; если он там не указан, вход в систему будет запрещен (именно это нам и требуется).

Правда, есть одна проблема. По умолчанию программа sendmail не доставляет почту тем пользователям, интерпретаторы которых не указаны в файле /etc/shells. Чтобы изменить эту установку, добавьте в файл /etc/shells ложный интерпретатор с именем /SENDMAIL/ANY/SHELL.

В Solaris, HP-UX и Red Hat имеется схожий набор утилит, помогающих автоматизировать процесс создания, удаления и модификации групп и пользовательских учетных записей. Во FreeBSD используется другой набор утилит.

Команда useradd добавляет записи о пользователях в файл passwd (и в файл shadow, если он есть). Она имеет интерфейс командной строки и легко запускается вручную или из сценария adduser. Команда usermod изменяет записи файла passwd для существующих пользователей. Команда userdel удаляет пользователя из системы, при необходимости уничтожая и его начальный каталог. Команды groupadd, groupmod и groupdel выполняют аналогичные действия по отношению к файлу /etc/group.

Хотя эти команды удобны, в большинстве случаев их недостаточно, чтобы реализовать все правила управления системой. Мы рекомендуем написать собственные сценарии adduser и rmuser. Для этого хорошо подходит язык Perl.

Вот как можно добавить в систему нового пользователя hilbert:

Эта команда создает в файле /etc/passwd следующую запись: