Как использовать команду useradd в Linux для создания пользователей

Коротко: команда useradd позволяет создавать локальные учётные записи в Linux из терминала. Для повседневных задач используйте useradd вместе с passwd и группами; для новичков — GUI-инструменты. В статье — примеры команд, сценарии использования, чек‑листы, безопасность и пошаговый игровой план для администратора.

Хотите добавить пользователя в Linux, но не знаете, с чего начать? Управление пользователями в Linux через командную строку может показаться сложным, особенно для новичков. В этой статье пошагово объяснено, как пользоваться командой useradd, какие есть флаги и параметры, а также приведены дополнительные рекомендации по безопасности и обслуживанию.

Краткое определение

useradd — это стандартная системная утилита для создания новых локальных учётных записей в большинстве дистрибутивов Linux. На некоторых дистрибутивах (например, Ubuntu) присутствует вспомогательная команда adduser, которая является обёрткой или символьной ссылкой на системную реализацию добавления пользователей.

Важно: useradd — низкоуровневая команда; adduser часто предоставляет интерактивный удобный интерфейс. На Arch и родственных дистрибутивах обычно используют useradd, на Debian/Ubuntu — adduser.

Типы пользователей в Linux — одна строка о каждом

• Root (администратор): UID 0, полный доступ ко всем ресурсам.
• Стандартные/повседневные пользователи: взаимодействуют с системой без административных привилегий.
• Сервисные аккаунты: используются приложениями и службами, часто без логина.

Каждый из типов имеет свой набор прав и ожидаемое поведение: сервисные аккаунты обычно имеют ограниченный доступ и не имеют интерактивной оболочки; административные — могут менять конфигурацию и управлять пользователями.

Базовый синтаксис

useradd [опции] имя_пользователя

Пример простого создания учётной записи (выполняется от root или через sudo):

sudo useradd muo

После выполнения новой учётной записи по умолчанию может не быть пароля и она останется заблокированной, пока вы не назначите пароль.

1) Назначение пароля

После создания учётной записи задайте пароль:

sudo passwd muo

Примечание по безопасности: файл /etc/passwd хранит учётную запись и метаданные (UID, GID, домашний каталог, оболочка), но не хеши паролей. Хеши паролей находятся в /etc/shadow, доступном только root.

2) Домашний каталог

По умолчанию для нового пользователя создаётся домашняя директория /home/имя_пользователя (если используется соответствующая опция в конфигурации). Чтобы задать нестандартный домашний каталог:

sudo useradd -d /home/somedirectory/muohome muo

Если вы не хотите создавать домашний каталог, используйте флаг -M:

sudo useradd -M muo

Чтобы одновременно создать домашний каталог и скопировать туда шаблоны из /etc/skel, добавьте флаг -m:

sudo useradd -m -d /home/muohome muo

3) Установка UID

Система обычно назначает следующий свободный UID в указанном диапазоне. На многих дистрибутивах UID < 1000 (или <500 на старых системах) резервируются за системными или административными аккаунтами. Чтобы назначить конкретный UID:

sudo useradd -u 605 muo

Будьте осторожны: конфликт UID с существующими пользователями приведёт к проблемам с правами доступа.

4) Добавление пользователя в группы

Группы упрощают управление правами. Добавить пользователя в одну или несколько дополнительных групп:

sudo useradd -G admins muo
sudo useradd -G admins,editors,owners muo

Если надо не создать, а изменить уже существующего пользователя, используйте usermod:

sudo usermod -aG admins muo   # добавляет muo в группу admins (опция -a обязательна при добавлении)

Важно: на Ubuntu команды adduser и deluser предоставляют удобный синтаксис управления группами. usermod более универсален для скриптов.

GUI: когда использовать и как

Если вам неудобно с CLI, многие окружения рабочего стола поддерживают графический менеджер пользователей:

• GNOME (Ubuntu): Settings → Details → Users → Unlock → Add User.
• KDE: System Settings → User Manager.

Для новичков GUI безопаснее: меньше риска ошибиться с флагами и правами.

Практические сценарии и варианты использования

1. Быстро создать пользователя и домашний каталог:

sudo useradd -m -s /bin/bash -G sudo muo
sudo passwd muo

2. Создать сервисный аккаунт без входа в систему:

sudo useradd -r -s /usr/sbin/nologin -M serviceacct

3. Создать пользователя с конкретным UID и скелетом:

sudo useradd -m -u 1500 -k /etc/skel customuser

Безопасность и твики (Hardening)

• Всегда задавайте и проверяйте политику паролей (в /etc/login.defs и PAM).
• Используйте /etc/shadow: храните только хеши, не переносите их в открытые файлы.
• Для сервисных аккаунтов назначайте минимально необходимую оболочку, например /usr/sbin/nologin.
• Блокируйте забытые учётные записи: sudo passwd -l username
• Ограничьте срок действия паролей: sudo chage -M 90 username (требовать смену каждые 90 дней) — настраивайте согласно политике вашей организации.

Важное: не давайте sudo/административный доступ пользователю без проверки ответственности и необходимости.

Управление жизненным циклом пользователя — мини‑SOP (шаги для администратора)

1. Подготовка: определить UID/GID и группы; проверить политику паролей.
2. Создание: sudo useradd -m -s /bin/bash -G username
3. Пароль: sudo passwd username
4. Проверка: grep ‘^username:’ /etc/passwd && sudo chage -l username
5. Документация: записать учётную запись в реестр пользователей (SOP).
6. Деактивация: sudo usermod -L username; при удалении — sudo userdel -r username (удалит домашний каталог).

Критерии приёмки: пользователь создан, домашний каталог присутствует (если требовался), пароль задан, группы корректны, и запись в внутренней документации создана.

Роли и чек‑листы

Администратор перед созданием:

• Проверил необходимость учётной записи
• Подобрал уникальный UID/GID
• Определил группы и привилегии
• Оповестил владельца учётной записи о правилах безопасности

Обычный пользователь после создания:

• Успешно вошёл в систему
• Сменил временный пароль
• Проверил доступ к нужным ресурсам

Частые ошибки и когда подход не сработает

• Конфликт UID: если UID уже занят, переназначение приведёт к проблемам с доступом к файлам.
• Ожидание автоматического создания домашнего каталога: без -m каталог может не создаться.
• Путаница adduser vs useradd: используйте рекомендованный инструмент вашего дистрибутива.

Проверка и тесты (acceptance)

• Тест: пользователь может войти (ssh/локально) при наличии оболочки.
• Тест: права файлов на домашней директории принадлежат новому пользователю.
• Тест: sudo доступ работает только при добавлении в группу sudo и наличии записи в /etc/sudoers.

Ментальные модели и эвристики

• «Минимальные привилегии»: давайте только те права, которые нужны для работы.
• «UID как идентификатор ресурса»: файлы в системе завязаны на UID, а не на имя — меняйте UID аккуратно.
• «Сервисный аккаунт ≠ человек»: сервисные учётные записи не должны иметь интерактивной оболочки.

Миграция и совместимость

• При переносе пользователей между серверами экспортируйте записи из /etc/passwd и /etc/shadow (только в безопасном канале), затем создайте учётные записи с нужными UID и правами. Никогда не пересылайте открытые пароли.
• На разных дистрибутивах поведение default-конфигурации useradd может отличаться: проверьте /etc/default/useradd и /etc/login.defs.

Конфигурационные файлы, которые нужно знать

• /etc/passwd — учётные записи и метаданные пользователей.
• /etc/shadow — хеши паролей.
• /etc/group — описания групп.
• /etc/default/useradd — дефолтные параметры для useradd.

Примеры сценариев с подробными командами

1. Создать обычного пользователя с домашней директорией и оболочкой bash:

sudo useradd -m -s /bin/bash -G users muo
sudo passwd muo

2. Создать администратора (предварительно убедитесь в политике вашей организации):

sudo useradd -m -s /bin/bash -G sudo,adm adminuser
sudo passwd adminuser

3. Удаление пользователя и его домашней директории:

sudo userdel -r muo

Примечания по конфиденциальности и соответствию (GDPR)

• Локальные аккаунты не передают персональные данные третьим сторонам по умолчанию, но сами учётные записи и их метаданные могут содержать PII (имя, email в GECOS). Управляйте политикой хранения данных и удалением аккаунтов в соответствии с локальными требованиями.
• Если вы храните бэкапы с /etc/shadow, шифруйте их и ограничьте доступ.

Короткий глоссарий (1‑строчное определение)

• UID — уникальный номер пользователя в системе.
• GID — идентификатор группы.
• /etc/passwd — файл учётных записей и метаданных.
• /etc/shadow — файл с хешами паролей, доступен только root.

Быстрый шаблон (чек‑лист) для создания нового пользователя

• Назначить имя пользователя
• Проверить и подготовить группы
• Выбрать UID (если нужно)
• Выполнить: sudo useradd -m -s /bin/bash -G <группы> username
• Задать пароль: sudo passwd username
• Проверить: grep ‘^username:’ /etc/passwd
• Документировать создание

Краткое резюме

Создание пользователей в Linux с помощью useradd — базовая и необходимая операция для администрирования систем. Используйте useradd для детального контроля, adduser для интерактивного удобства на некоторых дистрибутивах, а GUI для новичков. Всегда следуйте принципам минимальных привилегий и политике безопасности вашей организации.

Важно: перед массовым созданием учётных записей протестируйте процесс на отдельной тестовой машине или в виртуальной среде.