Если вы администрируете сервер под управлением CentOS 7, рано или поздно вам понадобится добавить нового пользователя или удалить существующего. Это одна из базовых задач системного администрирования, которую должен знать каждый, кто работает с Linux-серверами. Понимание процесса управления пользователями критически важно для обеспечения безопасности и правильной организации доступа к вашему серверу.

В этой статье мы разберем все аспекты работы с пользователями в CentOS 7: от создания учетных записей до их полного удаления, включая продвинутые техники и автоматизацию. Вы получите готовые команды, практические примеры и узнаете о подводных камнях, которые стоит избегать.

Как работает система пользователей в CentOS 7

В CentOS 7 информация о пользователях хранится в нескольких ключевых файлах:

• /etc/passwd — основная информация о пользователях (имя, UID, GID, домашний каталог, shell)
• /etc/shadow — зашифрованные пароли и политики безопасности
• /etc/group — информация о группах пользователей
• /etc/gshadow — защищенная информация о группах

Каждый пользователь получает уникальный идентификатор (UID), а также принадлежит как минимум к одной группе с идентификатором GID. Системные пользователи обычно имеют UID меньше 1000, а обычные пользователи — от 1000 и выше.

Добавление пользователей: пошаговое руководство

Базовое создание пользователя

Самый простой способ добавить пользователя — использовать команду useradd:

# Создание пользователя с настройками по умолчанию
sudo useradd username

# Создание пользователя с домашним каталогом
sudo useradd -m username

# Создание пользователя с определенной группой
sudo useradd -g users username

# Создание пользователя с комментарием
sudo useradd -c "John Doe" -m john

Продвинутые опции создания пользователей

Для более гибкой настройки используйте дополнительные параметры:

# Создание пользователя с определенным shell
sudo useradd -s /bin/bash -m username

# Создание пользователя с определенным UID
sudo useradd -u 1500 -m username

# Создание пользователя с датой истечения
sudo useradd -e 2024-12-31 -m username

# Создание пользователя с определенным домашним каталогом
sudo useradd -d /home/custom_dir -m username

# Комплексный пример
sudo useradd -c "Web Developer" -d /home/webdev -g developers -s /bin/bash -u 1100 -m webdev

Установка пароля

После создания пользователя обязательно установите пароль:

# Интерактивная установка пароля
sudo passwd username

# Установка пароля из скрипта (не рекомендуется для production)
echo "password" | sudo passwd --stdin username

Управление группами и правами доступа

Правильное управление группами — ключевой аспект безопасности сервера:

# Создание новой группы
sudo groupadd developers

# Добавление пользователя в группу
sudo usermod -aG developers username

# Добавление пользователя в группу sudo (для CentOS 7 - wheel)
sudo usermod -aG wheel username

# Просмотр групп пользователя
groups username

# Смена основной группы пользователя
sudo usermod -g newgroup username

Удаление пользователей: безопасно и правильно

Базовое удаление

Для удаления пользователя используется команда userdel:

# Удаление пользователя без удаления домашнего каталога
sudo userdel username

# Удаление пользователя с домашним каталогом
sudo userdel -r username

# Принудительное удаление пользователя (даже если он залогинен)
sudo userdel -f username

Безопасное удаление: проверяем перед удалением

Перед удалением пользователя всегда проверяйте активные процессы и файлы:

# Проверка активных процессов пользователя
sudo ps -u username

# Завершение всех процессов пользователя
sudo pkill -u username

# Поиск файлов, принадлежащих пользователю
sudo find / -user username -type f 2>/dev/null

# Проверка cron-задач
sudo crontab -l -u username

Сравнение методов и инструментов

Команда	Назначение	Преимущества	Недостатки
useradd	Создание пользователей	Быстро, много опций	Требует дополнительных команд для полной настройки
adduser	Интерактивное создание	Удобно для разовых задач	Не всегда доступно, медленно
userdel	Удаление пользователей	Простота использования	Может оставить “хвосты” в системе
usermod	Изменение настроек	Гибкость настройки	Требует знания параметров

Автоматизация и скрипты

Для массового управления пользователями можно создавать скрипты:

#!/bin/bash
# Скрипт для создания нескольких пользователей

USERS_FILE="/tmp/users.txt"
DEFAULT_PASSWORD="TempPass123!"

while IFS= read -r username; do
    if id "$username" &>/dev/null; then
        echo "Пользователь $username уже существует"
    else
        sudo useradd -m -s /bin/bash "$username"
        echo "$DEFAULT_PASSWORD" | sudo passwd --stdin "$username"
        sudo chage -d 0 "$username"  # Принудительная смена пароля при первом входе
        echo "Пользователь $username создан"
    fi
done < "$USERS_FILE"

Мониторинг и аудит пользователей

Регулярно проверяйте состояние пользователей в системе:

# Список всех пользователей
cut -d: -f1 /etc/passwd

# Пользователи с UID >= 1000 (обычные пользователи)
awk -F: '$3 >= 1000 {print $1}' /etc/passwd

# Пользователи с истекшими паролями
sudo chage -l username

# Последние входы в систему
last

# Текущие залогиненные пользователи
w

Продвинутые техники и лайфхаки

Создание пользователя-службы

Для запуска приложений часто нужны системные пользователи:

# Создание пользователя без возможности входа
sudo useradd -r -s /bin/false -d /var/lib/myapp myapp

# Создание пользователя с определенным диапазоном UID
sudo useradd -r -u 999 -s /sbin/nologin serviceuser

Настройка sudo-доступа

Для предоставления административных прав используйте файл sudoers:

# Редактирование sudoers файла
sudo visudo

# Добавление пользователя в wheel группу (стандартный подход в CentOS)
sudo usermod -aG wheel username

# Создание пользователя с правами sudo только для определенных команд
echo "username ALL=(ALL) /usr/bin/systemctl, /usr/bin/tail" | sudo tee /etc/sudoers.d/username

Интеграция с другими инструментами

Управление пользователями можно интегрировать с:

• Ansible — для автоматизации создания пользователей на множестве серверов
• LDAP/Active Directory — для централизованного управления
• Fail2ban — для защиты от брутфорс-атак
• PAM — для кастомизации процесса аутентификации

Безопасность и лучшие практики

Следуйте этим рекомендациям для повышения безопасности:

• Всегда используйте сложные пароли или ключи SSH
• Регулярно аудируйте список пользователей
• Удаляйте неиспользуемые учетные записи
• Используйте принцип минимальных привилегий
• Настройте логирование действий пользователей
• Отключайте root-доступ по SSH

Troubleshooting: частые проблемы и их решения

Проблема: Пользователь не может войти в систему

# Проверка блокировки аккаунта
sudo passwd -S username

# Разблокировка аккаунта
sudo passwd -u username

Проблема: Ошибка при удалении пользователя

# Проверка активных процессов
sudo lsof -u username

# Завершение всех процессов и повторное удаление
sudo pkill -9 -u username
sudo userdel -r username

Если вы планируете развернуть сервер для практики с управлением пользователями, рекомендую обратить внимание на VPS-решения или выделенные серверы для более серьезных задач.

Заключение и рекомендации

Управление пользователями в CentOS 7 — это фундаментальный навык, который должен освоить каждый системный администратор. Правильная организация пользователей и групп обеспечивает безопасность системы и упрощает её обслуживание.

Основные рекомендации:

• Всегда используйте параметр -m при создании пользователей для создания домашнего каталога
• Применяйте принцип минимальных привилегий
• Регулярно аудируйте список пользователей
• Автоматизируйте рутинные задачи с помощью скриптов
• Используйте группы для упрощения управления правами

Помните, что безопасность сервера во многом зависит от правильного управления пользователями. Инвестируйте время в изучение этой темы — это окупится многократно в будущем.

Дополнительные ресурсы для изучения:

• Официальная документация CentOS
• Red Hat System Administrator's Guide

---

В этой статье собрана информация и материалы из различных интернет-источников. Мы признаем и ценим работу всех оригинальных авторов, издателей и веб-сайтов. Несмотря на то, что были приложены все усилия для надлежащего указания исходного материала, любая непреднамеренная оплошность или упущение не являются нарушением авторских прав. Все упомянутые товарные знаки, логотипы и изображения являются собственностью соответствующих владельцев. Если вы считаете, что какой-либо контент, использованный в этой статье, нарушает ваши авторские права, немедленно свяжитесь с нами для рассмотрения и принятия оперативных мер.

Данная статья предназначена исключительно для ознакомительных и образовательных целей и не ущемляет права правообладателей. Если какой-либо материал, защищенный авторским правом, был использован без должного упоминания или с нарушением законов об авторском праве, это непреднамеренно, и мы исправим это незамедлительно после уведомления. Обратите внимание, что переиздание, распространение или воспроизведение части или всего содержимого в любой форме запрещено без письменного разрешения автора и владельца веб-сайта. Для получения разрешений или дополнительных запросов, пожалуйста, свяжитесь с нами.