如何在 Ubuntu 24.04 中添加和删除用户？（Ubuntu 用户管理）

管理用户是任何Linux系统管理员的基本技能。初次搭建Linux服务器时（尤其在Ubuntu系统上），通常仅能通过root账户访问。 尽管root用户能完全掌控系统，但将其用于日常操作存在风险且可能造成损害。更优的实践是创建独立的非root用户进行日常管理，这有助于限制意外系统级变更的发生并增强安全性。若管理多用户环境，应为每位用户分配独立账户以确保责任归属与权限隔离。 针对需要管理权限的操作，Ubuntu内置了sudo工具。该命令允许用户在无需root登录的情况下执行高权限任务。本指南将演示如何在Ubuntu中创建新用户、授予sudo权限，以及安全移除不再需要的用户账户。 前提条件 要完成本用户管理教程： 您需要访问运行Ubuntu 24.04的服务器。 确保拥有服务器的root访问权限，且防火墙已正确配置。 Ubuntu 24.04中的用户管理 在Ubuntu中添加用户 创建Ubuntu系统用户时，可使用adduser命令。若以root用户登录，请执行： $ adduser newuser Ubuntu 创建用户 若使用具有 sudo 权限的普通账户，请执行： $ sudo adduser newuser 运行命令后，系统将引导您完成若干设置步骤： 为新用户设置并确认密码。 可选填写全名、电话号码等附加信息。按 Enter 可跳过任意步骤。 输入 Y 确认所填信息无误。 完成后，新账户即可使用，用户可使用您刚设置的密码登录。 若需该用户执行管理任务，请继续阅读下一节授予其sudo权限。 在Ubuntu中为用户授予sudo权限 若需用户执行管理任务，必须授予其sudo特权。这允许用户在需要时以root用户身份运行命令。 实现方式主要有两种： 方法一：将用户加入sudo组 在Ubuntu 20.04/24.04等系统中，将用户加入sudo组即可自动获得管理权限。 查看用户当前所属组 执行命令查看用户组成员资格： $ groups newuser 默认情况下，用户仅属于其同名用户组。 将用户加入sudo组 授予sudo权限时，使用以下命令将用户加入sudo组： $ sudo usermod -aG sudo newuser -aG表示“将用户添加到指定组”。 必须以已拥有sudo权限的用户或root身份运行此命令。 方法2：通过/etc/sudoers授予特定sudo权限 无需通过组管理，可直接编辑sudo配置文件分配权限。 安全打开sudoers文件 始终使用visudo命令，该命令可防止语法错误并确保编辑期间文件处于锁定状态。 以root身份执行： # visudo 以具备sudo权限的用户身份执行： $ sudo visudo Ubuntu默认使用nano编辑器打开该文件，该编辑器对初学者友好。 添加用户的sudo条目 查找以下行： root ALL=(ALL:ALL) ALL 在其下方添加： newuser ALL=(ALL:ALL) ALL 将newuser替换为实际用户名。此行赋予用户与root账户同等的完整sudo权限。 按Y保存更改，使用Ctrl + X退出当前窗口。 该用户现已获得管理权限。可通过切换用户并执行sudo命令验证： $ sudo apt update 若需分配有限sudo权限（仅限特定命令），请告知我。 验证新用户sudo访问权限 授予sudo权限后，可测试功能是否正常。 以新用户身份登录时，可正常执行常规命令： 常规命令 若需以管理员权限执行相同命令，只需在命令前添加sudo： $ sudo regular_command 系统将要求输入当前用户账户密码（非root密码）。此操作用于验证用户身份后才授予提升权限。 在Ubuntu中删除用户 若用户账户不再需要，建议将其删除以保持系统整洁安全。 删除用户（保留文件） 若需删除用户账户但保留其文件（如主目录），请以root身份执行： # deluser newuser 若使用具有sudo权限的普通账户： $ sudo deluser newuser 删除用户及其主目录 若需同时删除用户账户及其主目录和个人文件： $ sudo deluser --remove-home newuser 此操作可确保系统中不留存任何残留文件。 清理sudo权限 若被删除用户曾手动授予sudo权限，还需从sudoers文件中移除其条目。 安全打开文件： $ sudo visudo 查找类似以下内容的行： newuser ALL=(ALL:ALL) ALL 删除该行可防止未来使用相同用户名的用户自动获得提升权限。 移除未使用的组 若为该用户创建的专属组未被其他用户加入，可执行： $ sudo delgroup 组名 此操作有助于保持组列表整洁，减少系统权限混乱。 Ubuntu 系统中临时禁用用户账户 当需要阻止用户访问系统但不永久删除其账户及文件时，可选择锁定账户而非删除。此操作适用于临时停用或闲置用户。 锁定用户密码 禁用用户账户最简便的方式是锁定其密码。此操作阻止用户使用密码登录，同时保留其文件和设置。 以root身份执行： # passwd -l 用户名 以sudo授权用户身份执行： $ sudo passwd -l 用户名 -l 参数通过在/etc/shadow文件中加密密码开头添加特殊字符（如!）实现锁定，使密码失效。 解锁密码 要恢复用户登录权限并还原原始密码： $ sudo passwd -u 用户名 -u选项可撤销密码锁定，允许用户使用原凭证重新登录。 禁用用户登录并设置非交互式shell 另一种限制访问的方式是将用户的默认shell设置为不支持交互式会话的类型。 禁用shell访问 sudo usermod -s /usr/sbin/nologin 用户名 或： sudo usermod -s /bin/false 用户名 此操作将阻止用户登录时打开shell或终端会话。 恢复原始Shell 若需重新启用Shell访问（通常为Bash）： $ sudo usermod -s /bin/bash 用户名 用户配置文件安全 当新用户加入Linux系统（如Ubuntu）时，其主目录默认创建于/home/用户名，配置文件从/etc/skel模板复制生成。 默认情况下这些目录对所有用户可读，若服务器存在多用户环境，可能导致敏感文件泄露。 访问权限检查与限制： 查看当前权限： $ ls -ld /home/username 若显示类似： drwxr-xr-x 则表示其他用户可访问该目录。限制访问： $ sudo chmod 0750 /home/username 注意：避免使用chmod -R命令，因其递归修改权限可能意外更改目录内文件。 为未来用户设置安全默认值： 确保所有新用户主目录均以受限权限创建： 1. 打开 /etc/adduser.conf 2. 设置： DIR_MODE=0750 此设置默认提供更佳隐私保护。可通过以下命令再次确认权限： ls -ld /home/username 此时仅用户本人及系统管理员可访问该目录。 设置密码策略 强密码是抵御暴力破解和字典攻击的首要防线，远程访问服务器尤为关键。 密码最小长度： Ubuntu通过通用密码文件控制密码策略。 强制设置最小长度（如8位）需编辑： $ sudo nano /etc/pam.d/common-password 在相关行添加： minlen=8 示例： password [success=1 default=ignore] pam_unix.so obscure sha512 minlen=8 注意：此设置仅适用于普通用户。管理员使用sudo创建用户时可能绕过这些检查。 遵循这些最佳实践，可强化Ubuntu服务器的用户访问控制，降低风险并保持更佳的系统健康状态。 使用 chage 实现密码过期策略 强制执行密码过期与变更策略： 查看当前密码设置： $ sudo chage -l 用户名 此命令将显示上次密码变更时间、过期日期及老化设置。 交互式设置密码规则： $ sudo chage 用户名 手动设置密码（示例）： $ sudo chage -E 2015/01/31 -m 5 -M 90 -I 30 -W 14 用户名 -E：账户过期日期 -m：密码变更前最小天数 -M：密码有效期上限 -I: 密码过期后锁定账户前的闲置天数 -W: 密码过期前的警告天数 验证修改效果： $ sudo chage -l 用户名 总结 至此，您已掌握在 Ubuntu 24.04 上管理用户账户的核心技能：创建/删除用户、分配/撤销 sudo 权限、管理用户组，以及通过账户锁定实现临时禁用。 规范的用户管理对保障系统安全、有序运行至关重要。掌握这些技能后，您可确保每位用户仅拥有必要权限，有效降低误操作或权限滥用的风险。 若需深入配置sudo权限，建议查阅安全高效编辑sudoers文件的详细指南。 想要突破VPS的局限进行升级？BlueServers提供强大且完全可定制的专用服务器，专为追求顶级性能与可靠性的企业打造。在完全隔离的环境中，您将拥有对资源的完全控制权——无共享使用，无性能下降。每台服务器均可根据您的需求定制，提供灵活的CPU、内存、存储和操作系统选项。 享受无限带宽，完美应对高流量与关键任务负载。无论您的业务覆盖北美、欧洲、亚洲或更广阔区域，BlueServers支持从任意国家部署专用基础设施，确保全球低延迟与高可用性。立即选择方案，全面掌控您的托管环境。