需为新用户分配权限时,应依次执行:一、用useradd或adduser创建用户并设密码;二、将用户加入sudo组以获管理权限;三、通过visudo精细配置命令白名单;四、对受限用户禁用shell登录。
如果您需要在Linux系统中为新用户分配访问权限并确保其具备必要的操作能力,则可能是由于系统默认未创建该用户或未配置相应权限。以下是完成此任务的具体步骤:
一、使用useradd命令创建用户
useradd是一个底层用户管理工具,可创建系统级用户账户,并支持指定主目录、登录shell等参数。该命令不会自动设置密码,需后续单独配置。
1、以root身份或使用sudo权限执行命令:sudo useradd -m -s /bin/bash newuser
2、为新用户设置初始密码:sudo passwd newuser
3、确认用户已成功创建:id newuser
二、使用adduser命令交互式添加用户
adduser是useradd的封装脚本,提供交互式向导,自动创建主目录、拷贝骨架文件、提示设置密码,适合初学者使用。
1、运行交互式命令:sudo adduser newuser
2、按提示依次输入密码、全名、房间号等信息(部分字段可直接回车跳过)
3、确认用户创建完成并验证:getent passwd newuser
三、将用户加入sudo组以授予管理员权限
Linux中普通用户默认无权执行管理命令,将其加入sudo组后可在命令前加sudo获得临时提权能力,这是最常用且安全的权限提升方式。
1、执行用户组添加操作:sudo usermod -aG sudo newuser
2、验证组成员关系:groups newuser
3、切换至该用户并测试权限:su - newuser,随后执行 sudo whoami
四、通过修改/etc/sudoers文件精细控制权限
visudo命令安全编辑sudoers文件,可为特定用户或用户组定义精确的命令白名单、免密执行、环境变量限制等策略,避免过度授权。
1、以root权限调用编辑器:sudo visudo
2、在文件末尾添加行:newuser ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart nginx, /bin/journalctl
3、保存退出后测试配置语法:sudo visudo -c
五、创建受限用户并禁用shell登录
对于仅需使用SFTP或运行特定服务的用户,可通过禁用交互式shell降低安全风险,同时保留文件系统访问能力。
1、创建用户并指定不可登录shell:sudo useradd -m -s /usr/sbin/nologin sftpuser
2、设置密码:sudo passwd sftpuser
3、配置SSH子系统限制(需编辑/etc/ssh/sshd_config):Match User sftpuser\n ForceCommand internal-sftp\n AllowTcpForwarding no\n X11Forwarding no
