Linux添加新用户：useradd命令使用教程

知识点掌握了，还需要不断练习才能熟练运用。下面golang学习网给大家带来一个文章开发实战，手把手教大家学习《Linux添加新用户方法：useradd命令详解》，在实现功能的过程中也带大家重新温习相关知识点，温故而知新，回头看看说不定又有不一样的感悟！

使用useradd命令创建新用户并设置密码是Linux用户管理的基础，通过-m创建家目录、-s指定shell、-G分配附加组、-c添加描述信息，实现权限隔离、行为审计和资源管理，提升系统安全与可维护性。

在Linux系统中，添加新用户主要通过useradd命令来完成。这个命令是系统管理员创建新用户账户的核心工具，它允许你定义用户的家目录、默认shell、所属组等关键属性，是实现系统权限管理和多用户环境的基础操作。

解决方案

要在Linux中创建一个新用户，最直接的方式就是使用useradd命令，并通常配合passwd命令来设置密码。

首先，你需要以root用户或拥有sudo权限的用户身份执行以下命令：

sudo useradd -m -s /bin/bash -G sudo,developers -c "张三 - 研发部" zhangsan

这条命令的含义是：

• sudo useradd: 以管理员权限执行useradd命令。
• -m: 非常重要，它告诉系统为新用户创建一个家目录（通常在/home/zhangsan），并从/etc/skel目录复制一些默认的配置文件到这个家目录。如果没有这个选项，用户登录后会遇到很多麻烦，比如无法保存配置、历史命令等。
• -s /bin/bash: 指定新用户的默认登录shell为Bash。这是最常见的交互式shell，当然你也可以指定其他shell，比如/bin/zsh，或者/sbin/nologin来禁止用户交互式登录（常用于服务账户）。
• -G sudo,developers: 将新用户添加到sudo和developers这两个附加组。加入sudo组通常意味着用户可以通过sudo命令执行管理员权限操作。你可以根据实际需要添加更多组，用逗号分隔。
• -c "张三 - 研发部": 为用户添加一段注释或描述，方便管理员识别用户的真实身份或职责。
• zhangsan: 这是你想要创建的新用户的用户名。

创建用户后，你需要立即为它设置一个密码，否则用户无法登录：

sudo passwd zhangsan

系统会提示你输入两次密码，请确保密码足够复杂且易于记忆。

为什么我们需要为Linux系统添加新用户？

这其实是一个关于系统管理哲学和安全策略的问题。在一个多用户操作系统中，为每个独立的使用者分配一个专属账户，不仅仅是技术上的规范，更是提升系统安全性、可维护性和可审计性的关键一环。

设想一下，如果所有人都共享一个root账户，那么任何操作都拥有最高权限，一旦误操作或恶意行为发生，后果将是灾难性的，而且你根本无从追踪是谁造成的问题。通过创建独立用户，我们能实现：

• 权限隔离与最小化原则： 每个用户只拥有完成其工作所需的最低权限。比如，一个普通开发者不需要删除系统核心文件的权限，而一个数据库管理员则需要访问特定数据库目录。这大大降低了因单个用户操作失误或账户被盗用而引发的风险。
• 行为审计与追溯： 系统日志会记录每个用户执行的命令和访问的资源。当出现问题时，管理员可以根据用户账户轻松追溯问题源头，这对于故障排查和安全事件响应至关重要。我个人就遇到过因为用户权限混乱，导致排查问题耗时数倍的情况，那真是让人头疼。
• 资源管理与配额： 可以针对不同用户设置资源限制，比如CPU使用、内存占用、磁盘空间配额等，防止单个用户耗尽系统资源，影响其他用户的正常使用。
• 个性化工作环境： 每个用户都有自己的家目录，可以存储个人文件、配置自己的shell环境、别名、环境变量等，互不干扰，提升工作效率。

在我看来，用户管理是系统管理员最基础也最重要的技能之一。它不仅仅是敲几个命令，更是对系统安全和稳定性的深思熟虑。

useradd命令的核心选项及其实际应用场景解析

useradd命令的强大之处在于其丰富的选项，这些选项允许我们精细地控制新用户的各种属性。理解这些选项及其背后的逻辑，能帮助我们更好地构建一个健壮的用户体系。

• -m (或 --create-home)：创建家目录
  • 应用场景： 几乎所有需要登录并进行交互式操作的用户都应该使用此选项。比如，开发人员、普通办公用户、测试人员等。家目录是用户存储个人文件、配置、历史命令记录的地方。
  • 重要性： 如果不创建家目录，用户登录后可能无法保存任何会话信息，甚至某些程序会因为找不到家目录而报错。想象一下，你登录一个系统，却连~/.bashrc都无法加载，那体验会非常糟糕。
• -s SHELL (或 --shell SHELL)：指定登录Shell
  • 应用场景：
    • /bin/bash、/bin/zsh等：适用于需要交互式登录和命令执行的普通用户。
    • /sbin/nologin或/bin/false：关键的安全选项。常用于创建服务账户（如www-data用于Web服务器，mysql用于数据库）。这些账户只需要运行特定的服务进程，不需要人类用户登录，禁用shell能有效防止潜在的攻击者利用这些账户登录系统。
  • 我的看法： 选择合适的shell是安全与便利的平衡。对于服务账户，我总是倾向于使用nologin，这是最基本的安全防护。
• -g GROUP (或 --gid GROUP)：指定主组
  • 应用场景： 每个用户都必须有一个主组。当用户创建文件或目录时，它们的默认组所有者就是这个主组。这在团队协作中很有用，比如所有“开发”组的用户创建的文件，默认都属于“开发”组，方便组内共享和权限管理。
• -G GROUP1,GROUP2,... (或 --groups GROUP1,GROUP2,...)：指定附加组
  • 应用场景： 这是赋予用户额外权限的常用方式。
    • sudo组：赋予用户执行管理员命令的权限。
    • docker组：允许用户无需sudo即可运行Docker命令。
    • lpadmin组：允许用户管理打印机。
    • adm、sys等：通常用于访问特定的系统日志或监控工具。
  • 经验之谈： 附加组是实现精细化权限控制的利器。但也要小心，不要随意将用户加入sudo组，这等同于授予其root权限。始终遵循最小权限原则。
• -c "COMMENT" (或 --comment "COMMENT")：用户描述
  • 应用场景： 在大型团队或服务器数量多的环境中，这个选项能极大提高管理效率。它可以记录用户的真实姓名、部门、职责等信息，方便管理员快速识别用户。虽然对系统功能没有直接影响，但对于“人”的管理却至关重要。
• -d HOME_DIR (或 --home-dir HOME_DIR)：指定家目录路径
  • 应用场景： 默认家目录在/home/username，但有时你需要自定义。比如，你可能想把所有Web用户的家目录放在/var/www/users/下，或者为了某种特殊的文件系统布局。

这些选项的灵活组合，让useradd成为了一个非常强大的工具，它允许我们根据不同的用户角色和安全需求，创建出高度定制化的用户账户。

创建用户后，我们还需要做哪些关键配置以确保其正常使用和系统安全？

仅仅创建了一个用户并设置了密码，这只是用户管理的第一步。要确保用户能够安全、高效地工作，并且不给系统带来安全隐患，后续的配置和维护同样重要。

1. 设置强密码并强制首次登录修改：
   • 使用sudo passwd username设置密码是基本操作。但更进一步，可以使用chage命令强制用户在首次登录时修改密码，并设置密码有效期，例如：

     sudo chage -d 0 zhangsan # 强制zhangsan在下次登录时修改密码
     sudo chage -M 90 zhangsan # 设置密码最长有效期为90天

   • 这能有效防止弱密码和长期不更换密码带来的安全风险。
2. 配置sudo权限（如果需要）：
   • 如果用户需要执行管理员任务，将其加入sudo组是最常见的做法。但更精细的控制可以通过编辑/etc/sudoers文件（使用visudo命令）来实现，例如，只允许某个用户执行特定的命令而不需要密码。
   • 重点是： 遵循最小权限原则，不要轻易给予用户过多的sudo权限。我个人偏好只给那些真正需要管理权限的人，并且限制他们能执行的命令。
3. 配置SSH密钥认证（针对远程登录用户）：
   • 对于需要通过SSH远程登录的用户，强烈建议使用SSH密钥对进行认证，而不是仅仅依赖密码。密钥认证比密码更安全，且更方便。
   • 用户生成密钥对后，将公钥添加到其家目录下的~/.ssh/authorized_keys文件中。
   • 在/etc/ssh/sshd_config中禁用密码认证，可以进一步提升安全性。
4. 限制资源使用（ulimit和limits.conf）：
   • 防止单个用户或进程耗尽系统资源。可以通过/etc/security/limits.conf文件配置用户的资源限制，如打开文件句柄数、CPU时间、内存使用等。
   • 例如，限制zhangsan用户可以打开的最大文件数为4096：

     zhangsan soft nofile 4096
     zhangsan hard nofile 4096

5. 检查家目录权限：
   • 确保新创建的家目录权限设置合理，通常为700（只有用户自己可读写执行）或750（用户和同组用户可读写执行，其他人无权限）。不当的权限设置可能导致用户隐私泄露或被其他用户篡改文件。
6. 定期审计用户列表和权限：
   • 定期审查系统中存在的用户账户，移除不再需要的账户。对于活跃账户，定期检查其所属组和sudo权限是否仍然符合其职责，及时调整。这是一种持续的安全维护实践。

这些后续配置，才是确保一个用户账户既能正常工作又能保障系统安全的“闭环”。创建用户只是起点，后续的权限管理、安全加固和定期审计，才是真正考验管理员功力的地方。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。