Реорганизация штатов во многих компаниях идет быстрыми темпами. Иначе говоря, если вы держите небольшой магазин со стабильной пользовательской базой, то должны знать, как очищать компьютер от данных о служащих. Слишком много системных администраторов не понимают, как высоки ставки при управлении пользователями. Рассерженные бывшие служащие часто могут причинять компании существенные неприятности, получив доступ к сети.
Удаление пользователя не является мгновенным — вы должны управлять всеми пользовательскими файлами, почтовыми псевдонимами, печатной работой, повторяющимися (автоматическими) действиями персонала (сюда относятся резервное копирование данных или удаленная синхронизация директорий) и другими отношениями с пользователем.
Хорошая идея — сначала отключить пользовательскую учетную запись в файле /etc/passwd; после этого вы можете искать пользовательские файлы и другие связи.
Когда все пользовательские линии будут очищены, вы сможете полностью удалить пользователя (если вы удалите запись из файла /etc/passwd, сохранив остальные связи, вам понадобится много времени, чтобы их указать).
Если вы удаляете пользователя, хорошей идеей является следование заранее определенной последовательности действий, что позволит не забыть ни одного важного шага. Вы даже можете создать лист проверки, на котором следует описать весь рабочий процесс.
Первым делом нужно отключить пользовательский пароль, эффективно блокировав его. Вы можете сделать это с помощью следующей команды:
Иногда необходимо временно отключить учетную запись, не удаляя ее. Например, пользователь может уйти в декретный отпуск, отправить или получить письмо через 90 дней в другой стране. Вы также можете узнать из своих системных журналов, что ктото неавторизованный получил контроль над учетной записью, отгадав ее пароль. Команда passwd 1 очень полезна в таких ситуациях.
Далее вы должны решить, что делать с пользовательскими файлами. Помните, что пользователи могут хранить файлы за пределами своих домашних директорий. Команда fi nd может их найти:
[root@host2 ]# find / user tadelste
/home/tadelste
/home/tadelste/.zshrc
/home/tadelste/.bashrc
/home/tadelste/.bash_profi1e
/home/tadelste/.gtkrc
/home/tadelste/.bashJ ogout
Если ваша организация использует безопасную оболочку (SSH, обычно обеспечиваемую в Linux сервером OpenSSH) и вы разрешаете удаленную аутентификацию ключа с помощью алгоритмов RSA или DSA, то пользователь может получить доступ к вашей системе, даже если его пароль отключен. Причина этого заключается в том, что в SSH применяются отдельные ключи.
Например, даже после того, как вы отключили пароль пользователя Tom Adelstein, он может с другого компьютера запустить такую команду:
$ ssh f N L8000:intranet.yourcompany.com:80 my.domain.com
Это перенаправляет трафик на порт 80 (порт, которого обычно ожидают вебсерверы) на вашем внутреннем сервере.
Вы можете сами решать, удалять или сохранять эти файлы. Если вы решите их удалить, то создайте резервные копии на тот случай, если они понадобятся вам позже.
Дополнительной мерой безопасности является изменение значения пользовательского пароля на фиктивное значение. Просто замените последнее значение в файле пароля passwd на /bin/false.
Очевидно, что если в вашей системе предлагается SSH, вы должны вынести авторизованные ключи за пределы соответствующих директорий (например, tadel ste/. ssh или .tadelste/.ssh2), чтобы препятствовать повторному получению пользователями доступа к своей учетной записи:
$ cd .ssh
:/.ssh$ Is
authori zed_keys known_hosts :/,ssh$ rm authorized_keys :/.ssh$ Is known_hosts :/.ssh$
Подобным образом поищите файлы .shosts и . rhosts в пользовательской домашней директории (например, tadel ste/. shosts или tadel ste/. rhosts).
Снова проверьте, имеет ли пользователь какиенибудь рабочие процессы в сети. Такие процессы могут служить для пользователя «черным входом» в вашу сеть. Следующая команда сообщит вам, имеет ли пользователь на настоящий момент активные процессы:
Есть еще некоторые сведения, которые системный администратор должен узнать о пользователе, покинувшем компанию.
О Может ли пользователь выполнять сценарии CGI из своей домашней директории на вебсервере компании? О Существуют ли файлы пересылки почты, такие как tadel ste/. forward? Пользователи могут применять программы для отправки почты на свои учетные записи и заставлять приложения выполняться на системе, к которой они предположительно не имеют доступа.