在Linux系统中,创建受限用户账户是系统安全管理的基础操作。通过合理的useradd配置,可以有效控制用户权限范围,降低系统安全风险。
基础受限用户创建
使用useradd命令时,可以通过以下参数创建受限账户:
# 创建仅允许SSH登录的受限用户
sudo useradd -m -s /usr/sbin/nologin -c "Restricted User" restricted_user
安全配置步骤
-
设置用户主目录权限:
sudo chmod 700 /home/restricted_user sudo chown restricted_user:restricted_user /home/restricted_user -
限制shell访问:
sudo useradd -m -s /usr/sbin/nologin restricted_user -
配置sudo权限(如需):
# 编辑sudoers文件 sudo visudo # 添加行:restricted_user ALL=(ALL) /usr/bin/git, /usr/bin/ssh
高级安全控制
通过/etc/login.defs文件配置用户创建的默认行为:
# 设置用户UID范围
USER_MAX_UID=20000
USER_MIN_UID=1000
同时,建议结合PAM模块限制登录次数和会话时间,确保账户安全。
验证方法
创建后使用以下命令验证:
id restricted_user
ls -la /home/restricted_user
这种配置方式在企业环境中广泛应用于普通员工账户管理,有效防止了不必要的系统访问权限。
讨论