Linux管理员用户创建指南:告别root风险,安全高效管理系统

《Linux就该这么学》是一本基于最新Linux系统编写的入门必读书籍,内容面向零基础读者,由浅入深渐进式教学,销量保持国内第一,年销售量超过10万余本。点此免费在线阅读。

Linux系统当中,创建管理员用户算作一项基础但却极为关键的系统管理任务 ,这不仅涉及日常的维护效率,并且这还直接给系统的安全性带来影响 ,拥有一个得以合理配置的管理员账户 ,它是安全且高效管理服务器的根基 ,下文 ,我会从若干关键层面 ,具体来讲明怎样准确完成这一操作 。

为什么要创建独立的Linux管理员用户

以root用户直接去开展相关操作,这当属极为危险的一种习惯,root账户具有至高无上的权限,任何一回误操作都极有可能性导致灾难性后果,就像不小心删掉系统的关键文件这类情况。为日常管理创建一个拥有sudo权限的单独用户,可以实实在在地有效隔离风险,并且依靠日志把所有特权操作记录下来,便于进行审计和追溯问题产生的源头。

创建用户linux_linux创建管理员用户_linux创建管理员

此外,开展独立的管理员用户的创建,同样是多用户系统管理以及团队协作的基本需求。当多名系统管理员需要对同一台服务器进行维护时,为每个人分配独立的管理员账户,相较于共享root密码,显然更为安全、清晰。这达成了责任明确至每个人,每个人的操作都保留有独立的记录,大幅度提高了系统的可管理性和安全性。

Linux管理员用户需要哪些基本权限

新创建的管理员用户,其具备的一个极为关键的权限是,可依靠sudo命令,临时获取root权限,这并不代表该用户本身就是rootlinux创建管理员用户,然而这意味着系统会信赖这个用户。准许其在通过了验证以后,去执行那些需要具有特权才能执行的命令。这样一种“按需提权”的机制linux 命令,在方便管理事务的时候,能够最大程度地去遵循最小权限原则。

linux创建管理员用户_创建用户linux_linux创建管理员

处于管理者身份的用户,常常需要被添加到特定的管理组别之处,比如说,在RHEL/CentOS这类系统里边的wheel组,又比方是在Debian/Ubuntu等系统当中的sudo组,除开sudo权限以外。 这个用户同样应该具备属于自身的家目录linux创建管理员用户,拥有单独的shell环境,例如bash,并且要配置好SSH密钥登录方式,凭借这个来替代不安全的密码认证形式,这是在生产环境里常用的标准做法。

如何使用useradd命令创建Linux用户

最基础的办法是采用useradd指令,比如说,要是打算创建一个名为sysadmin的用户,可行的操作是执行sudo useradd -n -s /bin/bash sysadmin。这里面,-m选项会自动构造用户的家目录(一般在/home/sysadmin那儿), -s选项随后明确了用户的预设登录 shell. 。

linux创建管理员_创建用户linux_linux创建管理员用户

先去创建用户,之后得立刻就给他设定一个强密码,去设定密码时所需用到了这样的命令,此命令便是 “sudo passwd sysadmin” ,接着系统会给出提示,提示你去录入并且确认新密码,仅完成这两步操作,这个用户依旧还只是普通用户,其并不具备管理权限,接下来要继续做出操作,把它加入到管理员组,并且要配置 sudo 权限,这可是将其升级成为管理员的关键重点。

如何将普通用户加入sudo管理员组

在基于Debian或者Ubuntu的系统里,通常会有一个sudo组,只需执行sudo usermod -aG sudo sysadmin,就能将用户sysadmin添加到该组,选项-aG意味着“追加到以下组”,借此确保不会消除该用户已有的其他附属组身份 。

以RHEL、CentOS或是Fedora作根基的传统系统之上,与之相对应的管理组通常是wheel。其命令为sudo usermod -aG wheel sysadmin ,做完此操作后,该用户便已经拥有了成为管理员的基本资格。接下来要做的是验证sudoers文件的配置。以此来确保该组确实被赋予了sudo权限 。

如何配置sudoers文件赋予管理权限

系统依靠/etc/sudoers文件,对可使用sudo的对象和使用方式加以控制,通常来讲,上述所讲的sudo组或者wheel组,在该文件中已经得到授权,这件事你可以通过cat /etc/sudoers | grep -E “%sudo|%wheel”来进行核实。你能够察觉到,类似于%sudo ALL=(ALL:ALL) ALL或者%wheel ALL=(ALL) ALL这样的行,这代表着,在这个组里头的所有成员于所有的主机之上,都具备能够执行所有命令的能力 。

假如特定需求不存在,那么直接编辑/etc/sudoers文件这种做法就不被建议,而是应该选用visudo命令,它会在保存前检查语法,借此避免配置出错令所有人都没法使用sudo的那种灾难性状况发生,对于多数场景来说,将用户添加到正确的管理组里就够了,无需手动修改这个文件。

如何验证Linux管理员用户创建成功

linux创建管理员_linux创建管理员用户_创建用户linux

做完创建并进行配置后,要转变到新用户去实施验证。最迅速便捷的路径是采用su命令:su - sysadmin。这里的横线“-”代表一个登录shell,它会加载新用户的所有环境变量。随后,尝试去运行一个需要特权的命令,例如sudo whoami

先输入当前用户(sysadmin)的登录信息凭据,要是指令回显是root, 那就证明sudo的设置已完成。之后,你要用之前创建的sysadmin账号通过SSH连接服务器,然后完全停止用root账户进行日常登录和操作,把它的登录信息凭据设为有高难度的随机组合字符并妥善保管redhat linux 9.0下载,只在紧急情况需恢复操作时才用标点符号。

你开始着手给服务器创建第一个管理员用户的时候,是更习惯用useradd命令去进行精细控制呢,还是倾向采用像adduser这样的交互式命令使流程简化呀?欢迎在评论区分享你的实践经历和偏好哦,要是觉得本文有帮助,就点赞并且分享给更多有需要的朋友呐。

Tagged:
Author

这篇优质的内容由TA贡献而来

刘遄

《Linux就该这么学》书籍作者,RHCA认证架构师,教育学(计算机专业硕士)。

发表回复