useradd命令最常用的参数包括-m(创建主目录)、-s(指定shell)、-g(主组)、-g(附加组)、-c(注释)、-u(指定uid)、-d(指定主目录路径)、-e(账户过期日期)、-f(非活动天数)。1. -m用于自动创建用户主目录;2. -s指定用户的默认shell,如/bin/bash;3. -g设定主组,必须存在;4. -g将用户加入一个或多个附加组;5. -c添加用户描述信息;6. -u手动设置uid;7. -d指定主目录路径,需配合-m使用;8. -e设置账户过期时间,格式为yyyy-mm-dd;9. -f定义密码过期后账户非活动天数。这些参数可根据需要组合使用,实现灵活的用户管理。
在linux系统中创建新用户,最核心的工具就是useradd命令。它不仅是基础,更是系统安全和权限管理的第一道关卡,通过它我们可以为不同的使用者或服务创建独立的账户,确保系统的有序运行和资源的合理分配。
创建Linux系统用户,通常我们会用到useradd命令。它的基本用法相当直接,但要用好,还得了解一些关键参数。最简单的创建方式就是 sudo useradd 用户名。但说实话,这样创建出来的用户,很多时候并不符合我们的预期。比如,它可能没有自己的主目录,也没有指定默认的Shell,更别提密码了。
所以,一个更实用的创建流程是这样的:
sudo useradd -m -s /bin/bash -g users -G sudo,docker -c "John Doe, devops Engineer" john.doe sudo passwd john.doe
这条命令的含义是:
- -m:这是个非常重要的参数,它会为新用户自动创建主目录(通常在/home/用户名下)。如果少了它,用户登录后会发现连个“家”都没有,很多配置和文件都无处安放。
- -s /bin/bash:指定用户的默认Shell。/bin/bash是目前最常用的Shell,提供强大的命令行功能。当然,你也可以根据需要指定其他Shell,比如/bin/zsh或者干脆是/sbin/nologin(让用户无法通过Shell登录,常用于服务账户)。
- -g users:指定用户的主组。每个用户都必须有一个主组。如果这个组不存在,useradd会报错。
- -G sudo,docker:将用户添加到额外的附加组。这里,john.doe被加入了sudo组(拥有执行sudo命令的权限)和docker组(可以运行Docker命令)。多个附加组之间用逗号分隔,且不能有空格。
- -c “John Doe, DevOps Engineer”:为用户添加一段注释,通常是用户的全名或描述,方便管理员识别。这个信息会存储在/etc/passwd文件中。
- john.doe:这是你想要创建的用户名。
创建完用户后,别忘了使用sudo passwd john.doe命令来设置用户的密码。如果没设置密码,用户是无法登录的。设置密码时,系统会提示你输入两次密码以确认。
useradd命令最常用的参数有哪些?
在我看来,useradd命令最常用且最关键的参数,除了上面提到的-m(创建主目录)、-s(指定Shell)、-g(主组)、-G(附加组)和-c(注释)之外,还有一些你可能在特定场景下会非常需要。
-u:指定用户的UID(User ID)。每个用户在Linux系统里都有一个唯一的数字标识符,就是UID。通常系统会自动分配一个未被占用的UID,但有时候为了保持一致性或者从其他系统迁移用户时,你可能需要手动指定一个特定的UID。比如,sudo useradd -u 1005 -m newuser。不过,手动指定UID需要确保这个UID没有被其他用户占用,否则会出问题。
-d:指定用户主目录的路径。虽然-m会自动在/home下创建,但如果你想把用户主目录放在别的地方,比如/data/users/newuser,你就需要用-d /data/users/newuser -m。注意,-m在这里仍然需要,它负责创建这个目录。
-e:指定账户的过期日期。这在创建临时账户或者对安全性要求较高的环境中非常有用。日期格式通常是YYYY-MM-DD。例如,sudo useradd -m -e 2024-12-31 tempuser。到了指定日期,这个账户就无法登录了。
-f:指定账户的非活动天数。如果用户在指定天数内没有登录,账户就会被锁定。这个参数后面跟一个数字,表示天数。0表示永不禁用,-1表示立即禁用。比如,sudo useradd -m -f 30 inactiveuser。
这些参数的组合使用,能让你在创建用户时拥有极大的灵活性和控制力,避免后期再频繁修改用户属性。
创建用户时如何指定其主目录和默认Shell?
指定用户的主目录和默认Shell是创建用户时非常关键的两个环节,它们直接影响用户登录后的体验和权限。
指定主目录: 默认情况下,如果你使用useradd -m,系统会在/home/目录下创建一个与用户名同名的主目录。但如果你有特殊需求,比如想把所有开发者的主目录统一放在/srv/developers/下,或者某个特定服务账户的主目录需要指向一个非标准的路径,这时就得用到-d参数了。
举个例子:
sudo useradd -m -d /srv/developers/dev_user -s /bin/bash dev_user
这里,dev_user的主目录就被设置到了/srv/developers/dev_user。值得一提的是,即使你指定了-d,也别忘了加上-m,因为-m的作用是“创建”这个主目录(如果它不存在的话),而-d只是“指定”路径。如果只用-d而没有-m,并且你指定的路径不存在,用户登录时就会遇到“No such file or Directory”的尴尬情况,因为Shell找不到用户的家。
指定默认Shell: Shell是用户与Linux系统交互的命令行解释器。常见的有bash、zsh、sh等。通过-s参数,你可以为新用户指定一个默认的Shell。
- /bin/bash 或 /bin/zsh: 这是最常见的选择,为普通用户提供完整的命令行交互体验。
- /sbin/nologin: 这是一个非常重要的选择,尤其在创建服务账户或者你希望某个用户只能通过ssh密钥登录而不能直接通过密码登录Shell时。指定/sbin/nologin后,用户将无法通过常规方式登录系统并获取Shell,但其账户仍然可以用于运行后台服务或作为FTP/SFTP等特定服务的认证凭据。
sudo useradd -m -s /sbin/nologin -c "FTP User" ftpuser
这个ftpuser就无法直接登录命令行,但你可以配置FTP服务让它能通过FTP协议访问文件。
选择正确的Shell对于系统安全和用户体验都至关重要。一个常见的误区是,为了省事不指定Shell,结果用户拿到了一个系统默认的Shell,可能并不是你想要的,甚至可能带来一些安全隐患(比如不应该有Shell的账户却有了)。
如何为新用户设置所属组以及账户有效期?
用户和组是Linux权限管理的核心。为新用户设置正确的所属组以及合理的账户有效期,是系统管理员必须掌握的技能,这关系到系统的安全性和资源的隔离。
设置所属组: 在Linux中,每个文件和目录都有一个所有者和一个所属组。用户对文件的访问权限,很大程度上取决于其所属的组。
-
主组(Primary Group): 使用-g参数来指定。这是用户登录后默认所在的组,通常与用户名相同(如果-N参数未指定)。例如,sudo useradd -m -g developers dev_lead,这里dev_lead的主组就被设置为developers。如果developers组不存在,useradd会报错。所以,在创建用户前,你可能需要先用sudo groupadd developers来创建组。
-
附加组(Secondary Groups): 使用-G参数来指定。用户可以同时属于多个附加组。这对于权限管理非常灵活,比如一个用户可能既属于developers组,又属于qa组,还属于docker组。
sudo useradd -m -g developers -G qa,docker,sudo dev_engineer
这里dev_engineer的主组是developers,同时他也是qa、docker和sudo组的成员。注意,多个组之间用逗号分隔,中间不能有空格。
合理规划用户和组的结构,可以大大简化权限管理。比如,你可以将所有需要访问某个特定目录的用户都加入到一个特定的组中,然后只为这个组设置目录的读写权限,而不是为每个用户单独设置。
设置账户有效期: 账户有效期,顾名思义,就是限制用户账户在某个日期之后就无法登录。这在管理临时员工、承包商或者短期项目账户时非常有用,可以避免账户被遗忘而成为潜在的安全漏洞。
-
过期日期(Expiration date): 使用-e参数来指定,格式为YYYY-MM-DD。
sudo useradd -m -e 2025-06-30 temp_contractor
这条命令创建了一个名为temp_contractor的用户,其账户将在2025年6月30日之后失效。一旦过期,该用户将无法再登录系统。
-
非活动天数(Inactive Period): 使用-f参数来指定。这个参数定义了用户密码过期后,账户在多少天内如果仍然没有登录,就会被禁用。0表示密码过期后立即禁用,-1表示永不禁用。
sudo useradd -m -f 30 lazy_user
这意味着如果lazy_user的密码过期了,并且他在30天内没有登录并更新密码,他的账户就会被禁用。
这些参数的巧妙运用,能让你的系统管理工作变得更加高效和安全。特别是对于那些生命周期有限的账户,明确设置有效期能省去不少后期清理的麻烦,也大大降低了安全风险。
