Linux SSH如何安全添加新用户并配置权限？

在Linux系统中,通过SSH增加用户是日常管理和服务器运维中的基础操作，这一过程涉及用户创建、权限配置及安全设置等多个环节，正确的操作不仅能确保系统安全，还能为后续的管理工作提供便利，以下将从准备工作、用户创建、权限配置及安全加固等方面，详细介绍Linux环境下通过SSH增加用户的完整流程。

准备工作：连接服务器与获取权限

在开始操作前,需确保已通过SSH成功连接到Linux服务器，管理员会使用root用户或具有sudo权限的用户进行操作，若当前用户权限不足，需先切换至root用户（通过su -命令）或使用sudo获取临时权限（如sudo su -），建议提前规划用户名、所属组及初始目录等基本信息，避免操作中频繁切换。

创建用户：使用useradd或adduser命令

Linux提供了两种创建用户的命令：useradd（底层命令，参数丰富）和adduser（交互式命令，更适合新手），以下是两种方式的操作示例：

使用useradd命令（推荐）

useradd是Linux中最常用的用户创建工具，其核心参数包括：

• -m：自动创建用户主目录（默认位于/home/下）；
• -s：指定用户登录的Shell（如/bin/bash为默认Shell，/sbin/nologin禁止SSH登录）；
• -G：将用户加入附加组（如sudo组以赋予管理员权限）；
• -c：添加用户注释信息（如真实姓名）。

示例：创建一个名为newuser的用户，主目录为/home/newuser，Shell为/bin/bash，并加入sudo组：

sudo useradd -m -s /bin/bash -G sudo -c "System User" newuser

使用adduser命令（交互式）

adduser会以交互式方式提示输入用户信息，操作更直观，适合不熟悉参数的用户：

sudo adduser newuser

执行后会依次提示设置用户密码、全名、房间号等信息，按需填写即可。

设置用户密码：确保账户可用

创建用户后,必须为其设置密码，否则无法通过SSH登录，使用passwd命令为用户设置密码：

sudo passwd newuser

根据提示输入两次密码（密码不会显示在终端），建议设置强密码（包含大小写字母、数字及特殊字符），若需修改密码，可再次执行该命令。

配置SSH访问权限：限制或开放登录

默认情况下,新用户可通过SSH登录服务器，但出于安全考虑，需进一步细化权限控制：

检查SSH配置文件

编辑SSH主配置文件/etc/ssh/sshd_config，确保以下参数设置合理：

• PermitRootLogin no：禁止root用户直接SSH登录（提升安全性）；
• AllowUsers newuser：仅允许newuser用户登录（可配置多个用户，用空格分隔）；
• PasswordAuthentication yes：启用密码认证（若需密钥认证，可改为no并配置公钥）。

修改后保存文件,重启SSH服务使配置生效：

sudo systemctl restart sshd

禁用或限制用户SSH访问

若某些用户仅需本地操作,无需SSH登录，可在创建用户时指定s参数为/sbin/nologin：

sudo useradd -m -s /sbin/nologin restricteduser

或修改现有用户的Shell：

sudo usermod -s /sbin/nologin restricteduser

安全加固：最小权限原则与日志审计

为增强安全性,需遵循最小权限原则，避免赋予用户不必要的权限：

使用sudo限制权限

将用户加入sudo组可赋予其管理员权限，但需通过sudoers文件精细控制，编辑/etc/sudoers（使用visudo命令）：

sudo visudo
```允许`newuser`执行特定命令（如`/usr/bin/apt`）：

newuser ALL=(ALL) /usr/bin/apt

#### **2. 审计用户操作**
启用系统审计功能，记录用户登录、命令执行等操作，编辑`/etc/audit/audit.rules`，添加规则：
```bash
-w /var/log/auth.log -p wa -k ssh_login

重启审计服务：

sudo systemctl restart auditd

通过ausearch -k ssh_login可查看相关日志。

验证用户配置：测试登录与权限

完成配置后,需验证用户是否可正常登录及权限是否生效：

1. 在本地终端使用新用户SSH登录：

   ssh newuser@服务器IP

2. 登录后测试sudo权限：

   sudo apt update

   若提示输入密码且命令执行成功,说明配置正确。

通过SSH增加用户是Linux管理的基础技能,需结合用户创建、权限配置及安全设置综合考虑，从useradd/adduser命令的使用，到SSH登录限制、sudo权限控制及日志审计，每一步都需严格遵循安全规范，合理配置不仅能保障系统稳定运行，还能有效降低安全风险，为后续运维工作奠定坚实基础。