Linux如何创建和管理用户账户

Linux用户管理核心在于权限控制与安全策略，通过useradd、usermod、userdel等命令实现用户生命周期管理，结合UGO-rwx权限模型和SUID、SGID、Sticky Bit特殊权限位，构建精细的访问控制体系。

Linux用户账户的管理，在我看来，远不止敲几个命令那么简单，它更像是系统安全与资源分配艺术的体现。核心操作确实围绕着

useradd

usermod

userdel

解决方案

在Linux系统里，创建和管理用户账户是日常运维的必备技能。我们从最基础的创建开始，逐步深入。

1. 创建新用户：

useradd

创建一个新用户，最常用的方式就是

useradd

/etc/passwd

/etc/shadow

/etc/group

一个基本的用户创建命令：

sudo useradd newuser

这只会创建一个用户，但通常我们还需要做更多：

• -m

  登录后复制
  ：自动创建用户的家目录（

  /home/newuser

  登录后复制
  ）。这是个好习惯，否则用户登录后会很尴尬。

• -s /bin/bash

  登录后复制
  ：指定用户的默认Shell。不指定的话，通常是

  /bin/bash

  登录后复制
  ，但明确写出来更清晰。

• -g primary_group

  登录后复制
  ：指定用户的主组。每个用户都有一个主组。

• -G secondary_group1,secondary_group2

  登录后复制
  ：将用户添加到额外的附加组。

• -c "User's Full Name"

  登录后复制
  ：添加注释信息，方便识别。

一个更完整的例子：

sudo useradd -m -s /bin/bash -g users -G sudo,developers -c "John Doe" john.doe

这条命令创建了一个名为

john.doe

/bin/bash

users

sudo

developers

2. 设置用户密码：

passwd

用户创建后，是没有密码的，无法登录。我们需要用

passwd

sudo passwd john.doe

系统会提示你输入两次密码。密码的复杂性直接关系到账户安全，所以别用“123456”这种密码。

3. 修改用户属性：

usermod

如果用户属性需要调整，

usermod

• 修改用户名（不推荐，可能会导致家目录和UID不匹配的问题，除非你非常清楚自己在做什么）：

  sudo usermod -l new_username old_username

  登录后复制
• 修改用户家目录：

  sudo usermod -d /new/home/dir -m john.doe # -m 选项会移动旧家目录内容到新目录

  登录后复制
• 修改用户Shell：

  sudo usermod -s /bin/zsh john.doe

  登录后复制
• 添加用户到附加组：

  sudo usermod -aG new_group john.doe # -aG 表示追加到组，而不是覆盖

  登录后复制
• 锁定/解锁用户账户：

  sudo usermod -L john.doe # 锁定
  sudo usermod -U john.doe # 解锁

  登录后复制

4. 删除用户：

userdel

当一个用户不再需要时，应该及时删除，以减少潜在的安全风险。

sudo userdel john.doe

这个命令只会删除用户账户本身，但用户的家目录和邮件池文件还会保留。通常，我们希望一并删除：

sudo userdel -r john.doe # -r 选项会删除用户的家目录和邮件池

删除用户时务必谨慎，特别是对于那些可能留下重要文件或配置的用户。我曾有一次不小心删错了用户，结果找回数据费了老大劲。

5. 用户组管理

• 创建用户组：

  groupadd

  登录后复制

  sudo groupadd developers

  登录后复制
• 删除用户组：

  groupdel

  登录后复制

  sudo groupdel old_group

  登录后复制
• 管理组成员：

  gpasswd

  登录后复制

  sudo gpasswd -a john.doe developers # 将john.doe添加到developers组
  sudo gpasswd -d jane.doe developers # 将jane.doe从developers组移除

  登录后复制

这些命令构成了Linux用户管理的基础骨架。理解它们，你就能更好地掌控系统的访问权限和资源分配。

Linux用户权限管理的核心逻辑是什么？

Linux用户权限管理的核心，在于它基于UNIX的“一切皆文件”哲学，并围绕着用户（User）、组（Group）、其他（Other）这三类主体，以及读（Read）、写（Write）、执行（Execute）这三种基本权限展开。这套UGO-rwx模型，简洁而强大，是理解Linux安全基石的关键。

在我看来，这种权限设计远比Windows那套复杂的ACL（访问控制列表）来得直观。每个文件或目录都有一个所有者用户和一个所有者组。当你查看一个文件的权限时，比如

ls -l

drwxr-xr--

• 第一个

  d

  登录后复制
  表示这是一个目录（

  d

  登录后复制
  for directory），如果是

  -

  登录后复制
  就是文件。

• rwx

  登录后复制
  ：所有者用户（User）有读、写、执行权限。

• r-x

  登录后复制
  ：所有者组（Group）有读、执行权限，但没有写权限。

• r--

  登录后复制
  ：其他（Other）用户只有读权限。

这种划分方式，巧妙地平衡了个人隐私、团队协作和公共访问的需求。比如，一个开发项目的源代码，所有者用户（比如项目负责人）可以完全控制，项目组成员可以读写执行（协作），而其他非项目成员只能查看（公共访问，但不能修改）。

乾坤圈新媒体矩阵管家

新媒体账号、门店矩阵智能管理系统

17

查看详情

除了基本的rwx权限，Linux还引入了一些特殊的权限位，它们在特定场景下发挥着至关重要的作用：

• SUID (Set User ID)：当一个可执行文件设置了SUID位时，任何用户在执行它时，都会暂时获得该文件所有者的权限。最典型的例子就是

  passwd

  登录后复制
  命令，普通用户可以修改自己的密码，但实际上修改的是只有root才能访问的

  /etc/shadow

  登录后复制
  文件。SUID的危险性也很高，滥用可能导致安全漏洞。
• SGID (Set Group ID)：与SUID类似，但影响的是组权限。当一个可执行文件设置了SGID位时，执行它的用户会暂时获得该文件所有者组的权限。如果SGID设置在一个目录上，那么在该目录下创建的新文件或目录，其所有者组会自动继承父目录的组。这对于团队协作，确保所有新文件都属于同一个项目组非常有用。
• Sticky Bit (粘滞位)：通常设置在目录上。当一个目录设置了Sticky Bit后，目录下的文件或子目录，只有其所有者或root用户才能删除或移动，即使其他用户对该目录有写权限也不行。最典型的应用就是

  /tmp

  登录后复制
  目录，所有人都可以往里面写文件，但不能删除别人的文件。

管理这些权限，我们主要依赖

chmod

chown

chgrp

在多用户协作环境中，如何高效地进行用户组管理？

在多用户协作的场景下，用户组管理的重要性就凸显出来了。我总觉得，如果把每个用户都看作一个独立的个体，那么用户组就是将这些个体组织起来的“团队”。它的核心价值在于，将对单个用户的权限管理，转化为对一组用户的权限管理，极大地简化了复杂环境下的权限配置工作。

为什么需要组？想象一下，一个项目有10个开发人员，他们都需要访问某个特定的代码仓库目录，并拥有读写权限。如果没有组，你可能需要为这10个用户分别设置权限，每次有新成员加入或离开，都要手动调整10次。但如果有一个

developers

developers

developers

Linux中，每个用户都有一个主组（Primary Group），这是在创建用户时默认指定的组，通常与用户名相同。此外，用户还可以属于一个或多个附加组（Supplementary Groups）。主组和附加组的区别在于，当用户创建新文件或目录时，它们的所有者组通常会默认设置为用户的主组。而附加组则提供了额外的权限访问能力。

高效的用户组管理策略，我通常会这样思考：

1. 按项目分组：如果你的团队有多个项目并行，为每个项目创建一个专门的组。例如

   projectA_devs

   登录后复制
   ,

   projectB_testers

   登录后复制
   。这样，项目相关的资源（代码库、数据目录）就可以直接授权给对应的项目组，新成员加入项目，只需将其添加到对应的组即可。
2. 按角色分组：对于一些跨项目的通用角色，比如

   sudoers

   登录后复制
   （系统管理员）、

   web_admins

   登录后复制
   （网站管理员）、

   db_users

   登录后复制
   （数据库用户），也可以创建专门的组。这样可以清晰地定义不同角色的权限边界。
3. 利用

   gpasswd

   登录后复制
   命令：这是管理组成员最方便的工具。
   • 添加用户到组：

     sudo gpasswd -a username groupname

     登录后复制
   • 从组中移除用户：

     sudo gpasswd -d username groupname

     登录后复制
   • 设置组管理员（可以管理组成员）：

     sudo gpasswd -A admin_user groupname

     登录后复制
4. 理解

   newgrp

   登录后复制
   命令：有时，用户可能需要临时切换其“有效主组”来执行某些操作。

   newgrp groupname

   登录后复制
   命令允许用户暂时将其主组更改为他们所属的另一个组，这样他们创建的新文件就会属于这个新的组。这在需要临时以特定组身份工作时非常有用。

当然了，在实际操作中，挑战总是存在的。比如，一个用户可能同时参与多个项目，属于多个组，这可能会导致权限冲突或混淆。我早期在管理系统时，就曾把所有用户都扔到一个大组里，结果文件权限一团糟，谁也搞不清楚谁能动什么。后来才意识到，精细化分组并定期审查组成员，才是避免混乱的关键。这不仅仅是技术问题，更是一种管理哲学，它要求你对团队结构、项目需求有清晰的认识。

忘记root密码或用户账户被锁定，有哪些紧急处理方案？

忘记root密码或者用户账户被锁定，对于系统管理员来说，这简直是“心脏骤停”的时刻。但别慌，Linux系统提供了相对成熟的紧急处理方案，就像给系统留的后门一样，让你在最关键的时刻能够“自救”。

1. 忘记root密码的紧急处理

这是最常见的紧急情况之一。解决方案的核心是进入系统的单用户模式（Single User Mode），在这个模式下，系统通常以root权限启动，并且不会加载完整的服务，让你有机会重置密码。

具体步骤（以GRUB引导的系统为例）：

1. 重启系统：当GRUB引导菜单出现时（如果没有出现，可能需要快速按

   Esc

   登录后复制
   或

   Shift

   登录后复制
   键），选择你的Linux发行版对应的启动项。
2. 编辑引导参数：按下

   e

   登录后复制
   键进入编辑模式。
3. 修改内核参数：找到以

   linux

   登录后复制
   或

   linuxefi

   登录后复制
   开头的那一行（通常很长），在行的末尾添加

   init=/bin/bash

   登录后复制
   或

   rd.break

   登录后复制
   (对于Systemd系统)。

   • init=/bin/bash

     登录后复制
     ：让系统启动后直接进入bash shell，而不是正常的init进程。

   • rd.break

     登录后复制
     ：对于使用initramfs的系统，这会让你在initramfs阶段就获得一个shell。
4. 挂载根文件系统为可写：在进入的shell中，根文件系统通常是只读的。你需要重新挂载它为可写。

   mount -o remount,rw /

   登录后复制

   如果使用了

   rd.break

   登录后复制
   ，可能需要先执行

   chroot /sysroot

   登录后复制
   进入实际的根文件系统。

5. 重置root密码：

   passwd root

   登录后复制

   系统会提示你输入两次新密码。

6. 更新SELinux上下文（如果启用了SELinux）：

   touch /.autorelabel

   登录后复制

   这会在下次启动时重新标记文件系统，防止SELinux导致的问题。

7. 重启系统：

   exec /sbin/init # 或者直接 reboot

   登录后复制

   系统会正常启动，你就可以用新密码登录root了。

我第一次遇到这种情况时，手心都冒汗了，但按照步骤一步步来，发现其实并没有想象中那么可怕。

2. 用户账户被锁定的紧急处理

用户账户被锁定通常是出于安全考虑，比如密码输入错误次数过多，或者管理员手动锁定。

• 检查锁定状态：

  sudo passwd -S username

  登录后复制

  输出中如果包含

  L

  登录后复制
  ，表示账户被锁定。

• 解锁账户：

  sudo passwd -u username

  登录后复制

  这个命令会解除账户的锁定状态。

• 检查

  /etc/shadow

  登录后复制
  文件：有时，账户锁定信息也会体现在

  /etc/shadow

  登录后复制
  文件中。密码字段前缀如果包含

  !

  登录后复制
  或

  *

  登录后复制
  ，也可能表示账户被禁用或锁定。

• pam_faillock

  登录后复制
  模块：许多Linux发行版使用

  pam_faillock

  登录后复制
  模块来管理登录失败次数。如果用户多次输入错误密码，这个模块会自动锁定账户。
  • 查看锁定状态：

    sudo faillock --user username

    登录后复制
  • 解锁账户：

    sudo faillock --user username --reset

    登录后复制

为什么会发生锁定？ 除了管理员手动操作，最常见的原因就是暴力破解尝试或者用户自己忘记密码反复试错。锁定机制本身是系统安全的一部分，旨在防止未经授权的访问。但它也可能在无意中阻碍了合法用户的登录。

这些紧急方案是系统管理员的“救命稻草”，它们的存在让人在绝境中看到希望。然而，更重要的是预防。比如，使用强密码策略、定期备份关键配置、部署集中式身份验证系统（如LDAP）、以及建立完善的权限和安全审计策略，这些都能大大降低发生这些紧急情况的概率。毕竟，预防总是胜于治疗。

以上就是Linux如何创建和管理用户账户的详细内容，更多请关注php中文网其它相关文章！