useradd 默认不创建家目录、不设密码、不指定shell,需加-m、-s、-c等参数并单独用passwd设密;adduser是交互式封装脚本,useradd是底层无交互命令;指定uid/gid需避开系统保留范围(1–999)。
useradd 命令默认不创建家目录,不设密码,登录会失败
直接 useradd username 只是往 /etc/passwd 里加一行,家目录、shell、密码全空。用户用 su - username 切换时会报错 Authentication failure 或直接退回 root,因为没设密码;即使设了密码,/home/username 也不存在,cd ~ 会进到 /root 或报错。
实操建议:
- 加
-m参数强制创建家目录(否则得手动mkdir /home/username && cp -r /etc/skel/. /home/username/) - 加
-s /bin/bash指定 shell,否则默认可能是/bin/sh或空,导致无法交互登录 - 加
-c "Full Name"写入 GECOS 字段,方便识别 - 创建后必须用
passwd username单独设密码,useradd本身不处理密码
useradd 和 adduser 不是同一个命令,别混用
adduser 在多数 Debian/Ubuntu 系统里是 Perl 脚本封装,带交互式向导、自动建家目录、拷贝 skel、设密码一气呵成;而 useradd 是底层二进制,行为严格、无交互、参数驱动。CentOS/RHEL 默认只有 useradd,没有 adduser(除非软链过去)。
常见错误现象:
- 在 CentOS 上敲
adduser username报command not found - 在 Ubuntu 上用
useradd -m username后发现家目录权限是 755 而不是默认的 700(adduser会自动chmod 700) - 误以为
adduser --help输出和useradd --help一样,结果参数不兼容(比如adduser不认-K)
指定 UID/GID 时要避开系统保留范围,否则服务启动失败
Linux 系统用户(如 daemon、sys、mysql)UID 通常在 1–999,不同发行版略有差异。若手动指定 -u 500,而该 UID 已被占用,useradd 会报错 UID 500 is not unique;但若指定 -u 99,可能撞上已存在的 sshd 或 postfix,后续相关服务可能拒绝启动或日志报 user does not exist。
安全做法:
- 查当前分配:用
getent passwd | awk -F: '$3 >= 1 && $3 - 普通用户从
1000起(systemd 默认从 1000 开始分配新用户) - 批量创建时用
-r(系统用户)或-U(自动选可用 UID),别硬编码
新建用户后 ssh 登录仍被拒,检查 SELinux 和 PAM 配置
即使 useradd -m -s /bin/bash username + passwd 全做完,SSH 还可能拒绝连接,错误日志常出现在 /var/log/secure 里,典型提示是 User username not allowed because account is locked 或 Failed password for invalid user。
关键排查点:
- 确认
/etc/shadow中该用户第二字段不是!或!!(表示锁定),passwd -u username解锁 - RHEL/CentOS 开启 SELinux 时,新家目录缺少
user_home_t上下文,需运行restorecon -Rv /home/username - 某些环境启用了
pam_access.so,检查/etc/security/access.conf是否限制了新用户组 - OpenSSH 的
/etc/ssh/sshd_config若有AllowUsers或DenyGroups,新用户可能被显式排除
家目录权限不对也会静默失败:确保 /home/username 所属为该用户且权限 ≤ 755,.ssh/authorized_keys 必须是 600 且属主正确——这些 useradd -m 不管,得自己收尾。
