如何创建新用户账号 useradd命令参数配置详解

在Linux系统中，创建新用户账号的核心命令是

useradd

useradd

解决方案

创建新用户账号，我们主要依赖

useradd

sudo useradd [选项] 用户名

例如，要创建一个名为

newuser

sudo useradd newuser

然而，仅仅这样创建的用户可能不满足实际需求。通常，我们还需要配合其他参数来指定家目录、默认shell、用户组等。创建用户后，务必使用

passwd

sudo passwd newuser

这才是完整的新用户创建流程。

为什么需要精细化配置用户账号？

我总觉得，在系统管理中，任何“默认”的东西都值得我们多看一眼。创建一个用户账号，远不止是让它能登录那么简单。精细化配置用户账号，在我看来，是出于多方面的考量，首当其冲的就是安全。一个没有明确限制的用户，就像一个敞开的后门。

想象一下，如果一个服务账号默认给了

bash

useradd

/sbin/nologin

/bin/false

再者，是管理上的便利性。当用户数量增多时，如果每个用户都有清晰的定义，比如他们的全名（通过

comment

乾坤圈新媒体矩阵管家

新媒体账号、门店矩阵智能管理系统

17

查看详情

useradd命令常用参数解析与实践

useradd

• -m

  登录后复制
  (

  --create-home

  登录后复制
  )：创建家目录 这是我几乎每次都会加的参数。默认情况下，

  useradd

  登录后复制
  不会为新用户创建家目录。但一个没有家目录的用户，很多程序可能无法正常运行，比如保存用户配置、历史命令等。所以，

  sudo useradd -m newuser

  登录后复制
  是常见操作。家目录通常会创建在

  /home/newuser

  登录后复制
  。

• -s SHELL

  登录后复制
  (

  --shell SHELL

  登录后复制
  )：指定登录Shell Shell决定了用户登录后能执行什么命令。常见的如

  /bin/bash

  登录后复制
  、

  /bin/zsh

  登录后复制
  。但对于一些只用于运行特定服务、不需要交互式登录的用户，我会倾向于设置为

  /sbin/nologin

  登录后复制
  或

  /bin/false

  登录后复制
  。这能有效阻止非预期的登录行为，提升安全性。 示例：

  sudo useradd -m -s /sbin/nologin serviceuser

  登录后复制

• -g GROUP

  登录后复制
  (

  --gid GROUP

  登录后复制
  )：指定主用户组 每个用户都必须有一个主用户组。如果你不指定，系统会根据

  /etc/login.defs

  登录后复制
  中的配置，通常会创建一个与用户名同名的新组作为其主组。但我更喜欢明确指定，尤其是在团队协作中，将用户归入预设的组，方便权限管理。 示例：

  sudo useradd -m -g developers newuser

  登录后复制
  (将

  newuser

  登录后复制
  的主组设为

  developers

  登录后复制
  )

• -G GROUP1[,GROUP2...]

  登录后复制
  (

  --groups GROUP1[,GROUP2...]

  登录后复制
  )：指定附加用户组 这是为用户添加额外权限的关键。用户可以属于多个附加组，从而获得这些组所拥有的文件或目录权限。 示例：

  sudo useradd -m -G sudo,webadmin newuser

  登录后复制
  (将

  newuser

  登录后复制
  添加到

  sudo

  登录后复制
  和

  webadmin

  登录后复制
  组，注意这里是逗号分隔，无空格)

• -c COMMENT

  登录后复制
  (

  --comment COMMENT

  登录后复制
  )：添加注释信息 这个参数用来给用户添加一段描述性信息，通常是用户的全名或职责。这些信息会保存在

  /etc/passwd

  登录后复制
  文件中，方便管理员识别。 示例：

  sudo useradd -m -c "John Doe, Marketing Dept." newuser

  登录后复制

• -d HOME_DIR

  登录后复制
  (

  --home-dir HOME_DIR

  登录后复制
  )：指定家目录路径 虽然

  -m

  登录后复制
  会创建家目录，但它通常遵循

  /home/username

  登录后复制
  的约定。如果你需要将家目录放在其他位置，比如

  /data/users/newuser

  登录后复制
  ，就需要用到

  -d

  登录后复制
  。 示例：

  sudo useradd -m -d /data/users/newuser -s /bin/bash newuser

  登录后复制

• -e EXPIRE_DATE

  登录后复制
  (

  --expiredate EXPIRE_DATE

  登录后复制
  )：设置账号过期日期 对于临时用户或测试账号，这个参数非常实用。日期格式通常是

  YYYY-MM-DD

  登录后复制
  。 示例：

  sudo useradd -m -e 2024-12-31 newuser

  登录后复制

• -f INACTIVE_DAYS

  登录后复制
  (

  --inactive INACTIVE_DAYS

  登录后复制
  )：设置密码过期后账号不活动天数 如果用户密码过期后，在指定天数内仍未登录并修改密码，账号将被锁定。

  0

  登录后复制
  表示立即锁定，

  -1

  登录后复制
  表示永不锁定。 示例：

  sudo useradd -m -f 30 newuser

  登录后复制
  (密码过期30天后不活动则锁定)

了解这些参数，能让你在创建用户时更加游刃有余，避免很多后续的权限调整和安全隐患。

用户账号创建后的安全考量与后续管理

创建了一个用户账号，这只是万里长征的第一步。在我看来，更重要的在于后续的安全考量和持续管理。一个账号的生命周期，从创建到最终删除，每一个环节都不能掉以轻心。

首先，密码安全是重中之重。即便你用

useradd

sudo passwd newuser

其次，权限的持续审查。用户被创建后，其权限并非一成不变。随着业务需求的变化，用户可能需要新的权限，也可能需要撤销旧的权限。定期审查用户所属的用户组和其对文件系统的访问权限至关重要。例如，通过

sudo

sudoers

visudo

sudoers

sudo

再来，日志审计和监控。一个活跃的用户，其操作应该被记录。通过查看

/var/log/auth.log

最后，账号的生命周期管理。当一个用户不再需要访问系统时，比如员工离职，及时地禁用或删除其账号是必须的。使用

sudo userdel -r username

/sbin/nologin

以上就是如何创建新用户账号 useradd命令参数配置详解的详细内容，更多请关注php中文网其它相关文章！