Linux: удаление аккаунта пользователя

5: Настройка брандмауэра

Примечание: Данный раздел нужно выполнить на каждой ноде кластера.

На этом этапе мы настроим брандмауэр, чтобы порты, необходимые для связи между нодами, были открыты.

Проверьте состояние брандмауэра:

В данном случае команда вернула:

Правила брандмауэра на вашем сервере могут отличаться. В данном случае он поддерживает только ssh. Если вы попытаетесь запустить кластер, вы не сможете этого сделать, потому что брандмауэр его заблокирует.

Galera использует четыре порта:

  • 3306: для соединения с клиентами MySQL и для State Snapshot Transfer (работает через метод mysqldump).
  • 4567: для репликации Galera Cluster и для многоадресной репликации по UDP и TCP.
  • 4568: Incremental State Transfer.
  • 4444: остальные операции State Snapshot Transfer.

Откройте эти порты. Убедившись, что репликация работает, вы сможете закрыть все ненужные порты и ограничить трафик только серверами кластера.

Чтобы открыть порты, используйте:

Не забудьте повторить это на остальных нодах.

Теперь можно запустить кластер.

Проблемы и решения

Извините, пользователь jdoe не может выполнять …

Типичный сеанс выглядит следующим образом:

$sudo test

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

password for jdoe:
Sorry, user jdoe is not allowed to execute ‘/usr/bin/test’ as root on localhost.

Это сообщение обычно означает, что пользователю не разрешено выполнять этого действие.

sudoers только для чтения

Файл /etc/sudoers только для чтения, даже для root!

Нужно использовать команду visudo для редактирования /etc/sudoers.

CVE-2005-4158

With the fix for CVE-2005-4158: Insecure handling of PERLLIB PERL5LIB PERL5OPT environment vars, the default behaviour of handling environment variables was switched to protect against malicious local users with sudo privileges getting sudo to do more than the malcontent was given privileges to do.

  • sudo (1.6.8p7-1.3) stable-security; urgency=high
    • Non-maintainer upload by the Security Team
    • Reverse the environment semantic by forcing users to maintain a whitelist

As a result, unless you modify your sudoers file to contain Defaults env_reset, you may experience problems using sudo like the following:

  • E138: Can’t write viminfo file $HOME/.viminfo!
  • dircolors: no SHELL environment variable, and no shell type option given
  • squidview: can’t get your home directory, exiting

If you had more complex setups where you meant to pass through environment variables, your work around may be more complex or no longer possible.

Bug:

Опция PASSWD не работает

sudo has a flag called exempt_group which contains a list of groups for which always NOPASSWD is true and setting PASSWD has no effect. On Debian Systems this list consists of the group sudo.

Неправильное поведение HOME (и настроек профиля)

If you are having problems when you sudo to your shell and your HOME (and profile settings) doesn’t work as expected because your new HOME is root’s homedir you must know that sudo since upstream version 1.7.4 (Debian Squeeze/Sid after Sep/2010) resets all environmental variables in it’s new default configuration, to restore the old behavior of reading the users HOME dir you may preserve the HOME environment variable by adding this to your /etc/sudoers configuration file:

Для получения дополнительной информации см. список изменений для версии

Общая информация

В операционных системах семейства Linux реализован принцип разграничения пользовательских привилегий, то есть у разных учетных записей разный объем прав доступа к каталогам, файлам и программам. Максимальными правами наделена встроенная учетная запись root. Вновь создаваемые пользовательские аккаунты обычно существенно ограничены в доступе к системным конфигурационным файлам, управлении сервисами, установке и удалении программных пакетов. При этом работа в операционной системе под учетной записью root настоятельно не рекомендуется, прежде всего в целях безопасности. В этом случае на помощь приходит утилита командной строки sudo.

Команда sudo позволяет запускать отдельные команды с повышением привилегий (по умолчанию с правами root) пользуясь непривилегированной учетной записью. Давайте разберемся, что же требуется для работы этой утилиты.

Передача sudo-привилегий

Создав нового пользователя системы, нужно решить, будет ли данный пользователь выполнять  административные задачи с помощью sudo.

Если созданный пользователь предназначен для повседневной работы, то ему понадобятся привилегии sudo для конфигурирования и поддержки сервера.

Для передачи пользователю sudo-привилегий используется команда «visudo». Если в данной системе еще нет пользователя, обладающего такими привилегиями, нужно войти в систему как root, чтобы получить доступ к этой команде:

Если же пользователь с sudo-привилегиями уже существует, данная команда доступна в сессии такого пользователя; наберите:

При вводе этой команды открывается текстовый редактор сессии с файлом, который определяет предварительно установленные sudo-привилегии. В него нужно внести нового пользователя, чтобы передать ему соответствующие права доступа.

Найдите часть файла под названием «User privilege specification». Она выглядит примерно так:

чтобы передать sudo-привилегии, нужно скопировать строку, которая начинается словом «root», и вставить ее ниже. Затем нужно заменить «root» в новой строке именем нового пользователя, как здесь:

Теперь можно сохранить внесенные изменения и закрыть файл. По умолчанию это можно сделать, набрав Ctrl-X и Y, а затем нажав «Enter».

Теперь, входя в систему как новый пользователь, можно выполнять определенные команды с root-привилегиями; для этого нужно ввести:

При этом будет запрошен пароль данного пользователя (не root-пароль). Затем команда будет выполнена с повышенными привилегиями.

Работа с пользовательскими учетками

Добавление пользователя

Работа на сервере из-под root-учетки — это, что называется, bad practice. Именно поэтому системные администраторы добавляют не рутовые учетки почти сразу после получения сервера от хостера или установки нового.

В Debian 8 делается это просто:

adduser newuser

После этого ОС спросит попросит вас пароль для этой учетной записи, а так же имена, телефоны и другую информацию.

Добавление пользователю sudo-прав

Что бы пользователь мог выполнять команды от рута — достаточно добавить его в sudo-группу. В дебиан sudo-группа так и называется — sudo, в отличие, от, например, CentOS, где такая группа называется wheel. Снова воспользовавашись утилитой adduser можно добавить уже существующего пользователя в уже существующую группу. Например так:

adduser someuser sudo

Таким образом someuser получит sudo-права и сможет выполнять команды от имени администратора.

Теперь, если вы логинитесь на сервер через ssh, то можете почитеть, как логиниться на сервер не вводя пароль.

Дополнительную информацию по использованию aseradd можно получить выполнив команду:

man useradd

Если вы устанавливали сервер в минимальной конфигурации то можете увидеть man: command not found. Кроме того ошибка sudo: command not found тоже может возникнуть. Решение проблем — по ссылкам под сообщениями.

Удаление пользователей

Удалить пользователя:

userdel username

Имейте в виду что при таком удалении не будет удалена домашняя директория пользователя. Для того чтоб удалиться аккаунт вместе с home-директорией нужно выполнить такую команду:

userdel -r vivek

Более полная информация по правильному удалению пользователей есть в этой статье.

Установка загрузчика GRUB

Последним шагом в процессе установки Debian на компьютер является установка загрузчика. Как и во множестве других дистрибутивов, в Debian используется GRUB2. Установщик просканирует диск и сообщит, что в данный момент Debian является единственной системой на нем, поэтому загрузчик можно установить в главную загрузочную запись. Выбираем пункт «Да» и жмем «Продолжить»:

Теперь осталось выбрать конкретный носитель, куда GRUB2 и будет установлен. Если у вас нет никаких особых требований, выбираете ваш жесткий диск и жмете «Продолжить»:

Дожидаемся завершения установки… И все! Debian Установлен на наш компьютер!

Жмем «Продолжить» и система уходит в перезагрузку, после которой можно сразу же приступить к ее настройке!

Метки DebianНастройка Linux

2: Настройка доступа к команде sudo

Чтобы иметь возможность использовать новый аккаунт для выполнения задач администратора, нужно разрешить новому пользователю доступ к команде sudo. Это можно сделать двумя способами:

  1. Добавить пользователя в группу sudo
  2. Отредактировать файл /etc/sudoers

Добавление пользователя в группу sudo

В системе Ubuntu 18.04 все пользователи, которые входят в группу sudo, по умолчанию имеют доступ к команде sudo.

Чтобы узнать, в какие группы входит ваш новый пользователь, введите:

Команда выведет:

По умолчанию каждый новый пользователь системы входит только в одноименную группу. Чтобы добавить пользователя в нужную группу, введите:

Флаг –aG добавляет пользователя в перечисленные в команде группы.

Редактирование файла /etc/sudoers

Еще один способ расширить привилегии пользователя – отредактировать файл sudoers. Для этого используется команда visudo, которая позволяет открыть файл /etc/sudoers в редакторе и явно задать привилегии каждого пользователя в системе.

Редактировать файл sudoers рекомендуется исключительно через visudo, поскольку эта команда блокирует внесение одновременных правок и выполняет проверку файла перед перезаписью. Это предотвращает ошибки в настройке sudo, которые могут повлечь за собой потерю всех привилегий.

Если вы находитесь в сессии root, введите команду:

В сессии не-root пользователя с доступом к sudo введите:

Как правило, visudo открывает файл /etc/sudoers в редакторе vi, сложном для новичков. По умолчанию в новых установках Ubuntu visudo использует более простой редактор nano. Для перемещения курсора используйте клавиши со стрелками. Найдите такую строку:

Скопируйте эту строку и вставьте её ниже, указав вместо root имя пользователя, которому нужно передать права суперпользователя.

Добавьте такую строку для каждого пользователя, которому нужны расширенные привилегии. После этого сохраните и закройте файл.

Тестирование настройки

Теперь нужно убедиться, что новый пользователь имеет доступ к sudo.

По умолчанию команды в сессии нового пользователя запускаются так:

Чтобы выполнить команду с правами администратора, добавьте sudo в начало:

При этом система запросит пароль вашего текущего пользователя.

Указываем DNS сервера

Укажем последние конфигурационные параметры для завершения настройки сети. Изменим следующий файл:

mcedit /etc/resolv.conf - укажите в нем необходимые DNS сервера следующим
образом:
nameserver 192.168.1.1  - при необходимости можно указать и публичные сервера
Яндекс и Гугла.

Если установка предполагает наличие программы «resolvconf» — проверить можно командой:

dpkg -l | grep resolvconf

Если ответ в консоли отсутствует, значит программа не установлена. В случае ее наличия в системе, дополнительно можно добавить строки с днс серверами в конец настроек файла interfaces.  Готовый файл должен соответствовать следующему виду:

Сохраняем все настройки сети еще раз:

systemctl restart networking

Я рекомендую перезагрузить систему,  чтобы полностью применить необходимые изменения. Стоит учитывать, что это не все настройки, которые можно выполнить, а только самые необходимые.

Добавляем нового пользователя в Ubuntu

Вы можете создать нового юзера одним из двух способов, причем каждый метод имеет свои определенные настройки и будет полезен в разных ситуациях. Давайте подробно разберем каждый вариант осуществления поставленной задачи, а вы, исходя из своих потребностей, выберите наиболее оптимальный.

Способ 1: Терминал

Незаменимое приложение в любой операционной системе на ядре Linux — «Терминал». Благодаря этой консоли производится множество самых разнообразных операций, в том числе и добавление пользователей. Задействована при этом будет всего лишь одна встроенная утилита, но с разными аргументами, о которых мы расскажем ниже.

  1. Откройте меню и запустите «Терминал», либо же вы можете зажать комбинацию клавиш Ctrl + Alt + T.

Пропишите команду , чтобы узнать стандартные параметры, которые будут применены к новому пользователю. Здесь вы увидите домашнюю папку, библиотеки и привилегии.

Создать учетную запись со стандартными настройками поможет простая команда , где name — любое имя пользователя, введенное латинскими символами.

Такое действие будет произведено только после ввода пароля для доступа.

На этом процедура создания учетной записи со стандартными параметрами успешно завершена, после активации команды отобразится новое поле. Здесь вы можете ввести аргумент -p, указав пароль, а также аргумент -s, задав используемую оболочку. Пример такой команды выглядит так: , где passsword — любой удобный пароль, /bin/bash — расположение оболочки, а user — имя нового пользователя. Таким образом создается юзер с применением определенных аргументов.

Отдельно хотелось бы обратить внимание и на аргумент -G. Он позволяет внести учетную запись в соответствующую группу для работы с определенными данными

Из основных групп выделяются такие:

  • adm — разрешение на прочтение логов из папки /var/log;
  • cdrom — позволяется использовать привод;
  • wheel — возможность использовать команду sudo для предоставления доступа к определенным задачам;
  • plugdev — разрешение на монтирование внешних накопителей;
  • video, audio — доступ к аудио и видеодрайверам.

На скриншоте выше вы видите, в каком именно формате вводятся группы при использовании команды useradd с аргументом -G.

Теперь вы ознакомлены с процедурой добавления новых учетных записей через консоль в ОС Ubuntu, однако мы рассмотрели не все аргументы, а лишь несколько основных. Другие популярные команды имеют следующие обозначения:

  • -b — использование базовой директории для размещения файлов юзера, обычно это папка /home;
  • -c — добавление комментария к записи;
  • -e — время, через которое созданный юзер будет заблокирован. Заполнять следует в формате ГГГГ-ММ-ДД;
  • -f — блокировка юзера сразу после добавления.

С примерами присвоения аргументов вы уже были ознакомлены выше, оформлять все следует так, как указано на скриншотах, используя пробел после введения каждой фразы. Стоит также отметить, что каждая учетная запись доступна для дальнейшего изменения через все ту же консоль. Для этого задействуйте команду , вставив между usermod и user (имя пользователя) необходимые аргументы со значениями. Не относится это только к изменению пароля, он заменяется через , где 12345 — новый пароль.

Способ 2: Меню «Параметры»

Далеко не всем удобно задействовать «Терминал» и разбираться во всех этих аргументах, командах, к тому же, это не всегда и требуется. Поэтому мы решили показать и более простой, однако менее гибкий метод добавления нового юзера через графический интерфейс.

  1. Откройте меню и через поиск отыщите «Параметры».

На панели снизу нажмите на «Сведения о системе».

Перейдите в категорию «Пользователи».

Для дальнейшего редактирования потребуется разблокировка, поэтому кликните на соответствующую кнопку.

Укажите свой пароль и щелкните на «Подтвердить».

Теперь активируется кнопка «Добавить пользователя».

Первоочередно заполните основную форму, указав тип записи, полное имя, название домашней папки и пароль.

Далее отобразится «Добавить», куда и следует нажать левой кнопкой мыши.

Перед выходом обязательно сверьте всю введенную информацию. После запуска операционной системы юзер сможет войти в нее под своим паролем, если он был установлен.

Приведенные выше два варианта работы с учетными записями помогут правильно настроить группы в операционной системе и выставить каждому юзеру свои привилегии. Что касается удаления ненужной записи, производится она через то же меню «Параметры» либо командой .

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Создание нового пользователя

Первое, что нужно сделать – это создать нового пользователя. Новые пользователи в Debian по умолчанию непривилегированны. Это значит, что они могут редактировать только файлы своих домашних каталогов.

Если это первый новый пользователь в системе, и в данный момент работа ведется с помощью root-пользователя, для создания пользователя можно использовать следующий синтаксис:

Если работа в системе ведется от ранее созданного пользователя с sudo-привилегиями, нового пользователя можно создать, добавив к предыдущему синтаксису команду sudo:

В любом случае Debian запросит дополнительную информацию о создаваемом пользователе. Сначала нужно установить пароль нового пользователя.

Debian попросит выбрать пароль и повторить его для подтверждения (опять же, в целях безопасности символы не будут выведены на экран).

Затем Debian попросит ввести личную информацию о пользователе. Но это необязательно, потому можете не заполнять указанные поля; пользователь будет работать должным образом вне зависимости от того, заполнены эти поля или нет. Нажмите «Enter», чтобы пропустить это действие или подтвердить внесенные данные.

Вход на учетную запись нового пользователя

После выполнения описанных выше действий новый пользователь еще недоступен. Чтобы переключиться на нового пользователя, введите:

Это прервет текущую сессию root-пользователя; чтобы войти в систему через SSH как новый пользователь, введите:

Теперь введите только что установленный пароль новой учетной записи.

Команда «su» – еще один быстрый способ переключиться на нового пользователя, не требующий выхода из системы.

Эта команда расшифровывается как «substitute user» (изменить пользователя) и позволяет ввести имя пользователя, на которого нужно перейти. Это выглядит так:

Здесь будет запрошен пароль нового пользователя. Если пароль был введен правильно, текущий пользователь будет успешно заменен новым. Чтобы вернуться в исходную сессию, используйте:

Как ограничить доступ с помощью /etc/passwd

Один из способов ограничения возможности входа – это задать регистрационной оболочке учетной записи специальное значение.

Примером этому является пользователь «messagebus» в файле «/etc/passwd»:

последнее значение – это оболочка или команда, которая запускается в случае успешного входа. Сейчас это «binfalse».

Если войти в учетную запись messagebus как root-пользователь, ничего не произойдет, так как переключиться на этого пользователя не получится:

Попробуйте переключиться на пользователя sshd:

Это уведомление появилось потому, что оболочка пользователя sshd помещена в «usrsbinnologin.

Итак, как же ограничить вход пользователей с помощью этих методов?

Нужно использовать инструмент «usermod», изменяющий легитимное значение оболочки фиктивным:

Почему sudo

Использование sudo лучше (безопаснее) открытия сессии root, по следующим причинам:

  • Нет необходимости в пароле root (sudo запрашивает пароль текущего пользователя).
  • По умолчанию команды выполняются от имени обычного пользователя (не привилегированного), что позволяет избежать ошибок. От имени root выполняются только команды с префиксом sudo.

  • Проверка/запись: когда выполняется sudo, записывается имя пользователя и исполняемая команда.

По этим причинам, переключение на root с помощью «sudo -i» (или sudo su) считается устаревшим, поскольку отменяет вышеперечисленные особенности.

Работа с группами

Зачем нужны группы в linux

Зачастую люди, имеющие небольшой опыт работы с серверами и только постигающие эту сферу, плохо понимают для чего вообще нужны пользовательские группы и как их использовать для повышения безопасности. Простейший пример — мы запускаем вебсервер не под админским пользователем для того чтоб при наличии потенциальных дыр в реализации софта, хакер, использующий дыру — не имел бы админских прав при «проникновении» в систему с правами с которыми запускается вебсервер. Но возникает другая проблема — сервис теперь создает все дополнительные папки и файлы и является их владельцем. А для того чтоб получить к ним доступ нам придется либо постоянно использовать админские права что не относится к плохим практикам, но и в принципе неудобно, либо выставлять папкам и файлам маски доступа «доступен для всех» — что так же относится к категории «плохие практики» — мало того что к важным данным могут получить доступ любые пользователи — так в некоторых случаях они же смогут запустить.

Создание и использование групп

Создать группу очень просто:

addgroup groupname

После этого в системе будет создана группа groupname. Ее можно использовать при выставлении владельцев директорий и файлов и все пользователи принадлежащие этой группе получат указанный на файле или директории уровень доступа.

Например, вы можете использовать группы для удобного просмотра логов без необходимости использования sudo.

1. Системные требования к аппаратно-программной части

Для обеспечения функционирования АСР в штатном режиме (с использованием всех функций, предоставляемых ПО) необходима установка и настройка следующих программных компонентов:

Компоненты АСР:

  • пакет LBcore;
  • набор необходимых сетевых агентов.

Компоненты OC:

  • СУБД MySQL

    • 5.6.x — поддерживается релизами LANBilling 2.0.23 от 22.12.2017 и новее.
    • 5.7.x — поддерживается с релиза 2.0.27 от 24.10.2018.
  • веб сервер (apache) с поддержкой версии PHP:

    • 5.3.x — для релизов LANBilling 2.0.001 — 2.0.19.*. Начиная с релиза 2.0.20, поддержка версии прекращается.
    • 5.4.x — поддерживается с релиза LANBilling 2.0.014 и новее.
    • 5.5.x — поддерживается с релиза LANBilling 2.0.18 и новее.
    • 5.6.x — поддерживается с релиза LANBilling 2.0.20 и новее.
    • 7.x — поддерживается с релиза LANBilling 2.0.29 и новее.
  • Python 2.6.x или 2.7.x.

Библиотеки PHP:

  • mysql;
  • libjpeg;
  • libpng;
  • gd;
  • iconv;
  • soap;
  • multibyte strings;
  • sockets;
  • bcmath;
  • ghostscript (требуется для генерации шаблонов в pdf формате);
  • pdftk (библиотека для «склейки» pdf документов в один файл).

Перед началом установки должны быть открыты следующие сетевые порты 80 (443), 1502 (1503), 3306, 34012, 34100 и порты, указанные в файлах конфигурации агентов АСР, а также в настройках агентов АСР в веб-интерфейсе.

1: Логин root

Чтобы подключиться к серверу, вам понадобится его внешний IP-адрес. Кроме того, нужно знать пароль или иметь закрытый ключ (если используется аутентификация на основе SSH-ключей) администратора – пользователя root.

Если вы еще не подключились к вашему серверу, сделайте это сейчас. Чтобы войти как пользователь root, введите команду:

Сейчас может появиться предупреждение о подлинности хоста; примите его и предоставьте учётные root. Если вы используете SSH-ключи, защищенные парольной фразой, вам нужно будет ввести и эту фразу. При первом подключении к серверу вам также будет предложено изменить root-пароль.

Что такое root?

Пользователь root является администратором среды Linux и обладает максимальными привилегиями. Именно поэтому использовать аккаунт root для рутинной работы крайне небезопасно – так можно случайно нанести системе непоправимый ущерб.

Потому для постоянной работы в окружении Linux принято использовать специально созданный аккаунт с расширенными привилегиями – с доступом к команде sudo, о чем речь пойдет далее в этом руководстве.

4: Настройка брандмауэра

Серверы Debian могут использовать брандмауэр для блокировки соединений с отдельными сервисами. Мы используем UFW, чтобы установить политики брандмауэра и настроить исключения.

С помощью менеджера пакетов apt установите брандмауэр UFW. Сначала обновите локальный индекс.

Различные приложения при установке регистрируют свои профили в UFW. Такие профили позволяют UFW управлять этими приложениями по имени. OpenSSH (сервис, который позволяет подключаться к серверу) имеет в UFW свой профиль.

Чтобы просмотреть его, введите:

Теперь нужно включить SSH-соединения, чтобы иметь возможность подключиться к серверу в следующий раз. Для этого введите команду:

После этого можно включить брандмауэр:

Чтобы продолжить, нажмите у и Enter. Чтобы убедиться, что соединения SSH не блокируются брандмауэром, введите эту команду:

На данный момент брандмауэр блокирует все, кроме SSH. Если вы установили и настроили дополнительные сервисы, вам необходимо откорректировать настройки брандмауэра, чтобы он не блокировал другой трафик.

Создание пользователя в Linux

Вся информация о пользователях находится в файле /etc/passwd. Мы могли бы создать пользователя linux просто добавив его туда, но так делать не следует, поскольку для этой задачи существуют специальные утилиты. Одна из таких утилит, это useradd. Рассмотрим ее подробнее.

Команда useradd

Это довольно простая команда, которая есть во всех дистрибутивах Linux. Она позволяет зарегистрировать нового пользователя или изменить информацию об уже имеющемся. Во время создания можно даже создать домашний каталог пользователя и скопировать в него системные файлы. Рассмотрим синтаксис команды:

$ useradd опции имя_пользователя

Все довольно просто, дальше нам нужно рассмотреть основные опции команды, с помощью которых вы будете настраивать нового пользователя:

  • -b — базовый каталог для размещения домашнего каталога пользователя, по умолчанию /home;
  • -c — комментарий к учетной записи;
  • -d — домашний каталог, в котором будут размещаться файлы пользователя;
  • -e — дата, когда учетная запись пользователя будет заблокирована, в формате ГГГГ-ММ-ДД;
  • -f — заблокировать учетную запись сразу после создания;
  • -g — основная группа пользователя;
  • -G — список дополнительных групп;
  • -k — каталог с шаблонами конфигурационных файлов;
  • -l — не сохранять информацию о входах пользователя в lastlog и faillog;
  • -m — создавать домашний каталог пользователя, если он не существует;
  • -M — не создавать домашнюю папку;
  • -N — не создавать группу с именем пользователя;
  • -o — разрешить создание пользователя linux с неуникальным идентификатором UID;
  • -p — задать пароль пользователя;
  • -r — создать системного пользователя, не имеет оболочки входа, без домашней директории и с идентификатором до SYS_UID_MAX;
  • -s — командная оболочка для пользователя;
  • -u — идентификатор для пользователя;
  • -D — отобразить параметры, которые используются по умолчанию для создания пользователя. Если вместе с этой опцией задать еще какой-либо параметр, то его значение по умолчанию будет переопределено.

Теперь, когда вы знаете основные необходимые нам параметры утилиты мы можем перейти к разбору того, как выполняется создание нового пользователя linux. Сначала давайте посмотрим какие параметры будут применены для пользователя по умолчанию:

Как видите, по умолчанию домашний каталог пользователя будет создан в /home и будет использоваться оболочка /bin/sh. Теперь создадим минимального пользователя с минимальными настройками:

Был создан самый простой пользователь, без оболочки и пароля, а также без групп. Теперь немного усложним задачу и создадим пользователя с паролем и оболочкой /bin/bash:

Для того чтобы получать доступ к системным ресурсам пользователю нужно быть участником групп, у которых есть доступ к этим ресурсам. Дополнительные группы пользователя задаются с помощью параметра -G. Например, разрешим пользователю читать логи, использовать cdrom и пользоваться sudo:

Также, можно установить дату, когда аккаунт пользователя будет отключен автоматически, это может быть полезно для пользователей, которые будут работать временно:

Некоторых пользователей интересует создание пользователя с правами root linux, это очень просто делается с помощью useradd, если комбинировать правильные опции. Нам всего лишь нужно разрешить создавать пользователя с неуникальным uid, установить идентификатор в 0 и идентификатор основной группы тоже в 0. Команда будет выглядеть вот так:

Создание нового пользователя linux в GUI

Затем откройте «Пользователи»:

Поскольку утилита запущена от имени обычного пользователя вы ничего не можете сделать. Поэтому нажмите кнопку «Разблокировать»:

Только после этого используйте кнопку со знаком плюс для создания нового пользователя Linux:

В открывшемся окне нужно заполнить все поля. Но тут намного больше ограничений, чем в методе через терминал. Вы не можете задать слишком простой пароль, а также нельзя настроить группы. Можно только указать будет ли пользователь включен в группу wheel с помощью выбора типа пользователя — администратор или обычный:

После этого создание пользователя linux завершено, новый пользователь появится в списке.

Users and sudo

Debian’s default configuration allows users in the sudo group to run any command via sudo.

Verifying sudo membership

Once logged in as a user, you can verify whether or not the user belongs to group=sudo using either the id or groups commands. E.g., a user with id=foo should see output from

$ groups

like

foo sudo

If sudo is not present in the output, the user does not belong to that group. Similarly, the more complex and variable output from command=id should look something like

uid=1001(foo) gid=1001(foo) groups=1001(foo),27(sudo)

Add existing user from commandline

To add an existing user with id=foo to group=sudo:

$ sudo adduser foo sudo

Alternatively, you can first get root (e.g., sudo su -) and then run the same commands without prefix=sudo:

# adduser foo
# adduser foo sudo

After being added to a new group the user must log out and then log back in again for the new group to take effect. Groups are only assigned to users at login time. A most common source of confusion is that people add themselves to a new group but then do not log out and back in again and then have problems because the group is not assigned; be sure to .

Creating users with sudo

You can also create new users with sudo membership:

Creating new user while installing OS

As of DebianSqueeze, if you give root an empty password during installation, sudo will be installed and the first user will be able to use it to gain root access (currently, the user will be added to the sudo group). The system will also configure gksu and aptitude to use sudo. You should still after logging in as the installed user.

Creating new user from commandline

A user which already has sudo can create another user (example id=foo) with sudo group membership from the commandline:

$ sudo adduser foo -G sudo

(or first get root as in previous section). You should then login as the new user and .

Команда useradd и её опции в linux

Рассмотрим подробно, какие опции команды  есть и что они делают.

Задание базовой папки для домашней директории нового пользователя нового аккаунта.
Добавляет данные GECOS нового пользователя (это про номер телефона и номер комнаты, где можно иногда встретить этого пользователя).
Создаёт рабочую папку пользователя для его нового аккаунта (этой опцией задаётся домашняя директория пользователя).
Показывает или меняет настройки создания нового пользователя в системе.
Задаёт срок жизни создаваемого аккаунта пользователя после истечения которого, аккаунт блокируется и пользователь не может войти в систему.
Задаёт время жизни пароля пользователя. После истечения которого, система потребует у пользователя сменить его пароль.
Задаёт группу или ID группы, в которую нужно поместить нового пользователя.
Позволяет создать список групп, в которые будет входить создаваемый пользователь.
Выдаст подсказку по команде  (ту, что я привёл выше).
Задаёт папку альтернативного шаблона создания пользователя.
Перезапись данных по умолчанию, находящихся в 
Не вносить данные о создаваемом пользователе в системные логи. (Видимо опция для взломщиков системы.) =D
Создаёт домашнюю папку пользователя (даже если пользователь не выполнил вход в систему, а в настройках это требуется для создания директории пользователя).
Не создаёт домашнюю папку пользователя (если пользователь не выполнил вход в систему, а в настройках этого не требуется для создания директории пользователя). Или например, если пользователь — это процесс, которому не нужна домашняя директория.
Не создавать группу для этого пользователя с именем, как у этого пользователя. (Нефиг плодить сущности тогда, когда они не нужны.)
Разрешить создать пользователя с не уникальным именем. При этом в системе могут быть созданы пользователи с одинаковыми UID.
Задать пароль создаваемого пользователя.
Создание системного аккаунта.
Создать ещё одного админа (новый пользователь с правами )
Путь до shell для нового пользователя.
Задать UID (user ID) аккаунта нового пользователя. (Иначе он будет присвоен автоматически исходя из настроек системы и свободных ID)
Создать группу с именем таким же, как у создаваемого пользователя.
Использовать специальные данные SEUSER для SELinux записи пользователя.

я выделил опции, которые могут понадобиться для создания нового пользователя на сервере с виртуальными хостами для разных WWW-проектов.

Ссылка на основную публикацию