Linux如何创建新用户账户-linux运维-PHP中文网

创建新用户需先用useradd加-m创建主目录并设置shell，再用passwd设密码；推荐Debian系使用adduser交互式创建。主目录权限由umask控制，用户组通过-g和-G指定，确保权限合理。用id和ls检查配置。密码管理用passwd锁定/解锁，chage设置有效期及强制改密。删除用户用userdel -r彻底移除主目录，但需find查漏其他文件，并清理进程、cron任务及空组。

linux如何创建新用户账户

在Linux系统中创建新用户账户，最直接的方法是使用

useradd

登录后复制

命令，然后通过

passwd

登录后复制

命令为新用户设置密码。对于基于Debian/Ubuntu的系统，

adduser

登录后复制

命令是一个更友好的封装，它会自动处理主目录创建、shell分配等一系列配置。

解决方案

创建新用户账户的核心流程通常包含两个步骤：一是创建用户实体，二是为其设置初始密码。

首先，我们使用

useradd

登录后复制

命令来创建用户。这个命令有很多选项，可以让我们在创建时就定义好用户的很多属性。例如，

-m

登录后复制

选项用于创建用户的主目录，这是非常关键的一步，否则用户登录后会发现无家可归；

-s

登录后复制

选项可以指定用户的默认shell，比如

/bin/bash

登录后复制

或

/bin/sh

登录后复制

；

-g

登录后复制

选项指定用户的主要组，而

-g

登录后复制

选项则可以添加用户到额外的辅助组中。

一个基本的例子是：

sudo useradd -m -s /bin/bash newuser

登录后复制

这会创建一个名为

newuser

登录后复制

的用户，并为其在

/home/newuser

登录后复制

创建主目录，默认shell设置为

/bin/bash

登录后复制

。

创建完用户实体后，必须立即为其设置密码，否则该用户将无法登录。我们使用

passwd

登录后复制

命令来完成这项工作：

sudo passwd newuser

登录后复制

系统会提示你输入两次密码，以确保输入正确。

对于Debian/Ubuntu系统，我个人更倾向于使用

adduser

登录后复制

命令。它在内部会调用

useradd

登录后复制

和

passwd

登录后复制

，并提供一个交互式界面，引导你完成主目录、shell、附加信息等设置，甚至会自动设置密码，省去了很多手动输入的麻烦，对于新手来说非常友好。

sudo adduser newuser

登录后复制

这个命令会询问一系列问题，比如密码、全名、房间号等，你也可以直接按回车跳过大部分可选信息。

创建新用户时，如何确保其拥有合适的权限和主目录？

这确实是创建用户时一个容易被忽略，但又至关重要的问题。一个配置不当的主目录或权限，可能导致用户无法正常登录、无法保存文件，甚至引发安全隐患。我见过不少情况，用户创建了，但因为忘记加

-m

登录后复制

选项，导致登录后直接进入根目录或者系统默认的某个目录，操作起来非常别扭，甚至一不小心就破坏了系统文件。

所以，在创建用户时，我总会强调几点：

主目录的创建 (
```
-m
```
登录后复制
)：使用
```
useradd -m
```
登录后复制
是最直接的办法。它会在
```
/home
```
登录后复制
目录下以用户名创建一个目录，并自动设置好所有者和基本权限。这个主目录是用户存放个人文件、配置和执行脚本的地方，没有它，用户体验会大打折扣。
```
sudo useradd -m username
```
登录后复制
默认权限 (
```
umask
```
登录后复制
)：当用户在自己的主目录或任何地方创建新文件或目录时，它们的默认权限是由系统的
```
umask
```
登录后复制
值决定的。通常情况下，
```
umask
```
登录后复制
值会确保新创建的文件不会对其他用户开放写入权限。你可以在用户的
```
.bashrc
```
登录后复制
或
```
.profile
```
登录后复制
文件中设置一个特定的
```
umask
```
登录后复制
值，来调整其默认的文件/目录创建权限，但这通常在用户创建后进行细化。
用户组的分配 (
```
-g
```
登录后复制
和
-g
登录后复制
)：
- 主要组 (
  -g
  登录后复制
  )：每个用户都必须有一个主要组。通常，
```
useradd
```
  登录后复制
  会创建一个与用户名同名的新组作为其主要组（如果该组不存在），并将用户添加到其中。你也可以指定一个已存在的组作为主要组。
```
sudo useradd -m -g existing_group username
```
  登录后复制
- 辅助组 (
  -g
  登录后复制
  )：用户可能需要访问某些特定的资源，例如打印机、共享目录或开发工具，这些资源通常通过组权限来管理。使用
```
-g
```
  登录后复制
  选项可以将用户添加到多个辅助组中，组名之间用逗号分隔，且不能有空格。
```
sudo useradd -m -G sudo,docker,developers username
```
  登录后复制
  这样，
```
username
```
  登录后复制
  就拥有了
```
sudo
```
  登录后复制
  、
```
docker
```
  登录后复制
  和
```
developers
```
  登录后复制
  组的权限，这对于需要执行特定任务的用户来说非常方便。
验证配置：用户创建完成后，我习惯用
```
id username
```
登录后复制
命令来检查其UID、GID以及所属的所有组。
```
id newuser
```
登录后复制
同时，也会去
```
/home
```
登录后复制
目录下查看新创建的主目录，确认其所有者和权限是否正确。
```
ls -ld /home/newuser
```
登录后复制
这些检查步骤能有效避免后续因权限问题引发的各种麻烦。

新用户创建后，如何管理其密码和账户有效期？

密码和账户有效期管理是用户生命周期管理中不可或缺的一环，尤其在多用户或生产环境中，这直接关系到系统的安全性。我个人认为，忽视这块的管理，就像给家门装了锁却不换钥匙，时间久了总会出问题。

密码管理 (
```
passwd
```
登录后复制
)：
- 修改密码：
```
passwd
```
  登录后复制
  命令不仅可以设置初始密码，用户自己也可以用它来修改密码（不加用户名），或者管理员为其他用户修改密码（加用户名，需要root权限）。
```
passwd # 用户自己修改密码
sudo passwd username # 管理员为username修改密码
```
  登录后复制
- 锁定/解锁账户：出于安全考虑，有时需要临时锁定某个用户账户，防止其登录。
```
sudo passwd -l username # 锁定用户
sudo passwd -u username # 解锁用户
```
  登录后复制
  锁定后，即使密码正确，用户也无法登录。
  
  乾坤圈新媒体矩阵管家
  新媒体账号、门店矩阵智能管理系统
  
  17
  
  查看详情
账户有效期和密码策略 (
```
chage
```
登录后复制
)：
```
chage
```
登录后复制
命令（change age）是专门用来管理用户密码老化信息的工具。它允许你设置密码的有效期、强制用户在下次登录时更改密码等策略。这对于强制定期更换密码、禁用长期不活跃账户非常有用。
- 查看密码老化信息：
```
sudo chage -l username
```
  登录后复制
  这会显示用户的密码最后更改日期、密码过期日期、账户过期日期等详细信息。
- 设置密码过期日期：你可以强制用户在特定日期后更改密码，或者设置密码最长使用天数。
```
sudo chage -E 2024-12-31 username # 设置账户在2024年12月31日过期
sudo chage -M 90 username # 设置密码最长使用90天
sudo chage -m 7 username # 设置密码最短使用7天才能更改
sudo chage -W 7 username # 设置密码过期前7天开始警告
sudo chage -I 30 username # 设置密码过期后30天账户锁定
```
  登录后复制
  我经常用
```
-E
```
  登录后复制
  来处理临时账户，比如为某个项目创建的临时访问权限，项目结束后直接设置过期日期，到期自动失效，省去了手动删除的麻烦。
- 强制用户下次登录修改密码：这是一个非常实用的功能，尤其是在你为用户设置初始密码后。
```
sudo chage -d 0 username
```
  登录后复制
```
-d 0
```
  登录后复制
  会将密码最后更改日期设置为1970年1月1日，从而强制用户在下次登录时必须更改密码。这确保了即使管理员知道初始密码，用户也能很快拥有自己的私密密码。

这些工具的组合使用，能够让我们对用户账户的安全性有更精细的控制，大大降低因密码管理不善带来的风险。

当用户不再需要时，如何安全地删除用户账户及其相关数据？

删除用户账户，听起来是个简单的操作，但实际操作中需要考虑的细节并不少。尤其是在生产环境，我总会多想一步：这个用户有没有留下什么“遗产”？比如，他可能在

/opt

登录后复制

目录下创建了重要的配置文件，或者在系统其他地方留下了数据。如果只是简单地删除用户而不清理这些，可能会导致系统资源浪费，甚至留下安全隐患。

核心命令是

userdel

登录后复制

，但使用时务必谨慎。

基本删除 (
```
userdel
```
登录后复制
)：
```
sudo userdel username
```
登录后复制
这个命令只会删除
```
/etc/passwd
```
登录后复制
、
```
/etc/shadow
```
登录后复制
和
```
/etc/group
```
登录后复制
文件中与该用户相关的信息。它的缺点是，用户的主目录、邮件池以及其他可能属于该用户的文件，都会被保留下来。这意味着，这些文件会变成“孤儿文件”，它们的所有者ID（UID）不再对应任何现有用户，这不仅占用磁盘空间，也可能导致权限管理上的混乱。
彻底删除 (
```
userdel -r
```
登录后复制
)：我个人强烈推荐在删除用户时加上
```
-r
```
登录后复制
选项，这表示“移除”（remove）。
```
sudo userdel -r username
```
登录后复制
这个命令不仅会删除用户账户信息，还会一并删除用户的主目录（
```
/home/username
```
登录后复制
）和邮件池。这大大简化了清理工作，减少了孤儿文件的产生。

然而，这也不是万无一失的。
- 其他目录下的文件：如果用户在
```
/tmp
```
  登录后复制
  、
```
/var/www
```
  登录后复制
  或者其他共享目录中创建了文件，
```
userdel -r
```
  登录后复制
  是不会去清理这些的。在删除用户前，我通常会先用
```
find
```
  登录后复制
  命令查找一下该用户在系统其他地方可能拥有的文件：
```
sudo find / -uid $(id -u username) -print
```
  登录后复制
  这条命令会列出系统中所有属于该用户ID的文件。然后根据实际情况，决定是删除、转移所有权，还是备份。
- 进程和计划任务：在删除用户之前，最好确认该用户没有正在运行的进程或计划任务（cron jobs）。
```
ps -fu username # 查看用户正在运行的进程
crontab -l -u username # 查看用户的计划任务
```
  登录后复制
  如果有，需要先终止进程，并删除计划任务。否则，即使删除了用户，这些进程或任务可能会继续运行，或者在下次系统启动时引发错误。
- 辅助组：如果该用户是某个辅助组的唯一成员，并且这个组是专门为这个用户创建的，那么在删除用户后，可以考虑删除这个空闲的组，以保持系统整洁。
```
sudo groupdel groupname
```
  登录后复制