Создание нового пользователя Linux

Администрирование Linux традиционно начинается с создания и управления учетными записями. Создание нового пользователя в Linux не ограничивается вводом команды — этот процесс включает в себя настройку безопасности системы, рабочей среды и прав доступа. От правильной настройки учетных записей зависит уровень безопасности сервера и защита данных.

Разграничение прав для каждой учетной записи особенно полезно при развертывании приложений и инфраструктуры в виртуальной среде, где каждому пользователю необходимо назначить строго определенные права.

Всё актуальное — в наших соцсетях. Подписывайтесь!

Телеграм ВКонтакте

Создать пользователя в Linux можно как на физическом, так и на виртуальном сервере. Рег.облако — платформа, где можно быстро разместить свой проект.

Принцип управления пользователями в Linux

По умолчанию операционные системы семейства Linux включают в себя три категории пользователей:

1. root — суперпользователь с неограниченными правами.
2. Системные аккаунты — создаются автоматически и используются для корректного функционирования служб.
3. Обычные пользователи — создаются для стандартного взаимодействия с операционной системой. Они имеют ограниченные права, однако их временно можно расширить при помощи команды sudo.

Каждая учетная запись в Linux хранится в виде записи в системных файлах и имеет уникальный идентификатор. При создании нового пользователя формируются параметры: имя, UID, группы, домашняя директория и оболочка.

Основные файлы, где хранится информация о пользователях:

• /etc/passwd — основной файл, содержащий имя пользователя, UID, GID, домашний каталог и оболочку;
• /etc/shadow — защищенный файл с хэшами паролей, доступный только суперпользователю;
• /etc/group — перечень всех групп в системе;
• /home/имя — домашний каталог с личными файлами и настройками пользователя.

При создании новой учетной записи система вносит изменения в соответствующие файлы, формирует директорию пользователя и ведет запись всех действий в системном журнале.

Основные команды для создания пользователей

Linux предоставляет несколько команд для работы с учетными записями. Наиболее распространенные:

• useradd — базовая команда для создания пользователей. Позволяет задавать все параметры в Linux вручную;
• adduser — упрощенная команда, которая пошагово проводит пользователя через процесс создания;
• passwd — команда для создания или изменения пароля;
• usermod — изменение параметров учетной записи (например, добавление в группу);
• userdel — удаление пользователя из системы

Все команды выполняются через терминал от имени суперпользователя (с использованием sudo).

Как создать нового пользователя

Рассмотрим, как создать нового пользователя в Linux пошагово.

Вариант 1. Использование adduser

Команда adduser подойдет в том случае, если вам удобен диалоговый режим:

[crayon-6985ee16ab4d0322864216/]

Система попросит задать пароль, полное имя и дополнительные сведения. После этого автоматически создаст домашний каталог /home/username и скопирует туда базовые настройки из /etc/skel.

Вариант 2. Использование useradd

Команда useradd поддерживает более гибкую настройку с помощью опций. Например:

[crayon-6985ee16ab4dd628354815/]

Здесь:

• -m — создать домашний каталог;

• -d /home/username — указать путь до директории;

• -s /bin/bash — задать оболочку (терминал по умолчанию).

После создания пользователя необходимо назначить пароль:

[crayon-6985ee16ab4e1879247928/]

Если требуется доступ к административным функциям, добавьте пользователя в группу sudo:

[crayon-6985ee16ab4e3369259874/]

Теперь новый пользователь сможет выполнять системные команды с повышенными правами через sudo.

Назначение групп и прав

В Linux контроль доступа основан на концепции пользователей и групп. Каждый пользователь имеет основную группу и может входить в несколько дополнительных.

Группы sudo и wheel предоставляют права администратора. В Debian и Ubuntu используется группа sudo, а в Fedora и CentOS — wheel.

Основные команды:

• Просмотр групп пользователя: groups username

• Добавление в дополнительную группу: sudo usermod -aG usergroup,www-data username

• Изменение основной группы: sudo usermod -g usergroup username

Для системных сервисов создаются отдельные пользователи без права входа, чтобы ограничить доступ и повысить безопасность.

Настройка окружения пользователя

При создании учетной записи формируется домашний каталог с настройками среды. По умолчанию структура копируется из /etc/skel. В этом каталоге можно разместить конфигурации, шаблоны файлов, SSH-ключи и параметры терминала.

Пример настройки SSH-доступа:

[crayon-6985ee16ab4e7869620457/]

Если сервер доступен в интернете, рекомендуется отключить вход по паролю и использовать ключи SSH.

Изменить домашний каталог можно командой:

[crayon-6985ee16ab4ea698268355/]

Флаг -m переносит содержимое старой директории в новую.

Безопасность и аудит

Работа под root повышает риск ошибок и утечек информации. Для обычной работы создаются учетные записи с минимальными правами. Контроль осуществляется через группы и с помощью команды sudo.

Для контроля за действиями пользователей используется системный аудит:

• Просмотр логов входа: sudo last
• Проверка sudo-журнала:
  • Debian/Ubuntu — sudo cat /var/log/auth.log | grep sudo
  • В RHEL/CentOS/Fedora — sudo grep sudo /var/log/secure
• Проверка присутствия пользователя в системных файлах: grep username /etc/passwd

Пошаговое создание нового пользователя с необходимыми правами

Ниже приведена универсальная последовательность действий для администраторов Linux:

1. Создайте пользователя:

[crayon-6985ee16ab4ee789245846/]

Где:

• sudo — выполнение команды с правами суперпользователя (root);
• useradd — добавление нового пользователя в систему;
• -m — автоматическое создание домашнего каталога;
• -d /home/admin1 — путь к домашнему каталогу;
• -s /bin/bash — определяет оболочку (shell), в которой будет работать пользователь;
• -c "Administrator sistemy" — комментарий или описание, которое добавляется в системный файл /etc/passwd;
• admin1 — имя новой учетной записи.

После выполнения этой команды в системе появится новая запись о пользователе, а также директория /home/admin1 с базовой структурой.

2. Задайте пароль

[crayon-6985ee16ab4f0502580354/]

Утилита passwd инициирует активацию аккаунта, генерирует запись в файле /etc/shadow и помещает туда хэш пароля. По завершении процесса программа запросит повторный ввод пароля для подтверждения. В случае успешной проверки введенных данных, новый пользователь получит возможность входить в систему.

3. Добавьте пользователя в группу sudo

[crayon-6985ee16ab4f2933379177/]

Параметры:

• usermod — изменение параметров существующего пользователя;
• -aG — добавить (a) пользователя в указанные группы (G), не удаляя предыдущие;
• sudo — имя группы, в которую добавляется пользователь;
• admin1 — имя редактируемого пользователя.

После этого admin1 сможет выполнять административные команды через sudo, не входя под root. Это безопаснее и соответствует лучшим практикам администрирования Linux.

4. Проверьте настройки, выполнив команды по очереди:

[crayon-6985ee16ab4f3288853925/]

Что проверяем:

• ls -ld /home/admin1 — просмотр прав доступа и владельца каталога;
• groups admin1 — показывает, в каких группах состоит пользователь;
• grep admin1 /etc/passwd — убеждаемся, что запись в системных файлах создана корректно.

Корректный вывод должен показывать, что владельцем каталога является admin1, а в списке групп есть sudo.

5. Настройте окружение

[crayon-6985ee16ab4f5956435657/]

Где:

• mkdir -p — создает каталог .ssh, если он отсутствует;
• chmod 700 — устанавливает права доступа только для владельца;
• touch authorized_keys — создает пустой файл, где позже можно разместить публичный SSH-ключ;
• chown -R admin1:admin1 — рекурсивно назначает владельцем каталога пользователя admin1.

Если сервер доступен извне, рекомендуем запретить вход по паролю и использовать SSH-ключи. Их можно настроить в файле /etc/ssh/sshd_config.

6. Проверьте доступ и вход, чтобы убедиться, что все корректно работает:

[crayon-6985ee16ab4f7726008395/]

Эта команда переключает текущую сессию на нового пользователя. Если вход успешен и отображается каталог /home/admin1, значит, учетная запись создана корректно.

7. Создание служебного пользователя без входа

Для сервисов и фоновых процессов удобно использовать пользователя без права авторизации:

[crayon-6985ee16ab4f8141581942/]

В зависимости от дистрибутива путь к оболочке, блокирующей вход, может отличаться.

• На системах на базе Debian это обычно: /usr/sbin/nologin
• В RHEL/CentOS/Fedora встречается: /sbin/nologin
• А в некоторых дистрибутивах используется: /bin/false

Параметры:

• -r — создает системного пользователя с низким UID, предназначенного для служб;
• -s /usr/sbin/nologin — запрет на интерактивный вход;
• -M — не создает домашний каталог.

Такой пользователь может быть назначен владельцем процессов и файлов, но без возможности авторизоваться в системе.

Частые ошибки и способы их устранения

1. Не создан домашний каталог.

Решение:

[crayon-6985ee16ab4fa481647409/]

2. Неверная оболочка

Решение: укажите корректную через -s /bin/bash или измените позже командой usermod -s.

3. Пользователь не добавлен в группу sudo

Решение:

[crayon-6985ee16ab4fc655131679/]

4. Не ограничены права пользователя на каталог

Решение:

[crayon-6985ee16ab4fd344556723/]

5. Остались SSH-ключи у бывших сотрудников

Решение: удалите записи из authorized_keys или деактивируйте учетную запись командой sudo usermod -L имя

Рекомендации и итоги

Грамотное управление пользователями — важный аспект администрирования Linux. Просто добавить пользователя в Linux недостаточно: требуется запись в системные файлы, создание и настройка домашнего каталога, создание пароля, распределение прав и подготовка окружения.

Советы для безопасной работы:

• использовать учетные записи с ограниченными правами вместо прямого входа под root;
• регулярно проверять активные учетные записи и проводить аудит действий пользователей;
• на серверах с доступом извне использовать SSH-ключи и ограничивать вход по паролю;
• отслеживать логи авторизации и sudo-журнал для выявления потенциальных угроз.