Linux权限管理实践：通过useradd创建受限用户账户

在Linux系统中，用户权限管理是安全防护的基础。本文将通过useradd命令创建受限用户账户的实践，探讨如何在实际环境中实施最小权限原则。

安全背景

根据内核安全模块（LSM）的设计理念，每个进程都应以最低必要权限运行。当需要创建新用户时，必须考虑其访问权限范围，避免因账户权限过高而造成安全隐患。

实践案例：创建受限用户账户

1. 创建普通受限用户

# 使用useradd命令创建用户并指定home目录和shell
sudo useradd -m -d /home/restricted_user -s /sbin/nologin restricted_user

2. 设置用户权限限制

# 禁用密码登录，强制使用SSH密钥认证
sudo passwd -l restricted_user

# 修改用户主目录权限为仅所有者可读写
sudo chmod 700 /home/restricted_user

3. 配置sudo权限（如需）

# 创建sudo规则文件
sudo tee /etc/sudoers.d/restricted_user << EOF
restricted_user ALL=(ALL) NOPASSWD: /usr/bin/systemctl status, /usr/bin/ls
EOF

4. 验证配置

# 切换到受限用户验证权限
d su - restricted_user
id
whoami

安全建议

1. 始终使用-m参数创建主目录
2. 限制shell为/sbin/nologin或/usr/sbin/nologin以防止直接登录
3. 定期审查sudo规则文件
4. 结合fail2ban等工具监控异常登录行为

通过以上配置，可以有效控制受限用户权限范围，符合Linux安全最佳实践要求。