ID użytkowników i grup

Istnieją dwie klasy ID użytkowników: ID systemowe i zwykłe ID użytkowników. Identyfikatory systemowe są zastrzeżone dla właścicieli podsystemów zabezpieczonych i specjalnych funkcji administrowania systemem. Identyfikatory zwykłych użytkowników są przypisywane osobom, które interaktywnie korzystają z systemu.

Każdy użytkownik ma unikalny ID użytkownika, identyfikujący go w systemie. Każdemu użytkownikowi można także przypisać jeden lub więcej identyfikatorów grup. Identyfikatory grup są współużytkowane przez użytkowników w tej samej grupie i nie muszą być koniecznie unikalne. Istnieją limity zakresów dotyczące wartości liczbowych używanych dla identyfikatorów. W poniższej tabeli zdefiniowano limity zakresów dla identyfikatorów. Zdefiniowano wartości umożliwiające określenie wystarczającej liczby identyfikatorów systemowych, identyfikatorów zwykłych użytkowników i grup.
Identyfikator użytkownika systemu
0 do 127
Identyfikator zwykłego użytkownika
128 do MAXUID
Identyfikator zwykłej grupy
0 do MAXUID-1
Wartość MAXUID jest zdefiniowana w pliku /usr/include/sys/param.h.

Należy zachować ostrożność podczas przypisywania wartości identyfikatorów nowym użytkownikom. Jeśli zwykłemu użytkownikowi zostanie nieumyślnie przypisany ID użytkownika o wartości mniejszej niż 128, użytkownik ten nie będzie mógł zalogować się w systemie.

Nie należy ponownie wykorzystywać ID użytkowników. Gdy użytkownik jest usuwany, zaleca się pozostawienie pozycji w plikach /etc/passwd i /etc/security/passwd i zablokowanie konta. Zadanie to można wykonać, używając komendy smit. Uniemożliwia to użytkownikowi zalogowanie się i zabezpiecza to przed ponownym wykorzystaniem identyfikatora. Dzięki temu, że identyfikator nie zostanie ponownie wykorzystany, nowy użytkownik nie będzie miał dostępu do plików należących do poprzedniego użytkownika, które nie zostały usunięte. Dzięki temu będzie można jednoznacznie odtworzyć zapis kontrolny.

Plikami /etc/passwd, /etc/security/passwd i /etc/group można zarządzać za pomocą komend mkuser, chuser, rmuser, pwdadm i passwd. Komendy te umożliwiają wymuszenie wszystkich powyższych środków ostrożności oraz obsługę innych zagadnień dotyczących bezpieczeństwa systemu. Komenda mkuser umożliwia dodatnie do systemu tylko zwykłych użytkowników.

Uwaga: Należy uważnie wymusić zastosowanie następujących standardów:
  • nigdy nie należy ponownie przypisywać poprzedniego ID użytkownika nowemu użytkownikowi,
  • nigdy nie należy przypisywać zduplikowanych ID użytkowników,
  • nigdy nie należy przypisywać identyfikatora systemowego zwykłemu użytkownikowi,
  • nigdy nie należy przypisywać MAXUID jako identyfikatora użytkownika lub grupy.