Linux权限控制实战:通过useradd创建受限用户账户的配置
在Linux系统管理中,创建受限用户账户是基础但至关重要的安全实践。本文将通过具体案例演示如何使用useradd命令创建具备最小权限的用户账户。
踩坑记录
最初尝试直接使用useradd username创建用户,结果发现该用户拥有过多默认权限,包括访问系统敏感目录和执行某些特权命令的能力。在一次安全审计中,我们发现问题根源在于未正确配置用户组和shell环境。
安全配置步骤
# 创建受限用户账户(不分配shell)
useradd -r -s /sbin/nologin -d /home/restricted_user restricted_user
# 设置用户主目录权限
chmod 700 /home/restricted_user
chown restricted_user:restricted_user /home/restricted_user
# 验证用户创建结果
id restricted_user
getent passwd restricted_user
关键配置说明
-r:创建系统用户(非交互式登录)-s /sbin/nologin:禁止用户登录-d /home/restricted_user:指定主目录
重要提醒
请勿使用未验证的补丁,所有配置应基于实际测试环境验证。建议在生产环境部署前先在测试环境中验证权限控制效果。
通过以上步骤可有效降低系统安全风险,实现最小权限原则。
讨论