真“临时”需自动清理而非仅设过期:用at为每个账号绑定精准删除任务(如echo "userdel -r username_tmp && rm -f /var/log/auth.log.username_tmp" | at 2am + 7 days),或统一归组tempusers后定时扫描清理,并手动清除SSH密钥、sudo规则、数据库角色、容器目录及systemd用户服务。
Linux 临时账号怎么设才真“临时”
单纯用 useradd -e 指定过期日期不够——系统不会自动删用户,到期后只是禁止登录,/home 目录、SSH 密钥、sudo 权限残留全在。真要“自动过期”,得靠时间触发的清理动作,不是靠账户字段。
-
useradd -e只影响/etc/shadow中的expire字段,PAM 会拦登录,但不碰文件、进程、数据库权限 - 临时账号必须配唯一标识(比如用户名带
_tmp后缀或归组tempusers),否则脚本无法安全识别该删谁 - 别依赖 cron 每分钟扫一次——高并发创建时可能漏删;建议每小时执行 + 配合
at为每个账号单设到期任务(更准但运维成本高)
用 at 给每个账号绑定精准删除动作
at 能在指定时间点运行命令,比轮询更可靠,适合“创建即承诺销毁”的场景。但注意:atd 默认可能没开,且命令环境极简(无 shell 初始化、PATH 狭窄)。
- 创建账号后立刻加
at任务:echo "userdel -r username_tmp && rm -f /var/log/auth.log.*username_tmp*" | at 2am + 7 days
- 必须用绝对路径调用
userdel(通常是/usr/sbin/userdel),否则at环境里找不到命令 -
at任务不继承当前用户的环境变量,所有路径、配置都要显式写死,比如日志清理不能用~,得写/home/username_tmp
定时脚本清理:按组删比按时间戳更稳
如果账号量大或需审计,用 cron 定期扫 tempusers 组更可控。关键不是查“是否过期”,而是查“是否该删”——以组为边界,避免误删正常用户。
- 把所有临时账号加进
tempusers组:usermod -aG tempusers username_tmp - 清理脚本核心逻辑:
getent group tempusers | cut -d: -f4 | tr ',' '\n' | while read u; do userdel -r "$u"; done
- 别用
lastlog或chage -l判断活跃度——刚建的号还没登录过,lastlog时间为空,会误判为“长期未用” - 脚本加锁(如
flock)防止并发执行,否则两个实例同时删同一个用户会报错中断
过期后残留权限怎么断干净
删用户不等于权限清零。SSH 公钥、sudo 规则、数据库账号、容器命名空间这些都得手动处理,否则账号“逻辑存在”。
- SSH 密钥:删
/home/username_tmp/.ssh/authorized_keys前先确认没被其他用户软链共用 - sudo 权限:检查
/etc/sudoers.d/下是否有对应文件,或用grep -r username_tmp /etc/sudoers* - 数据库账号(如 PostgreSQL):脚本里补一句
psql -U postgres -c "DROP ROLE IF EXISTS username_tmp;" - 容器相关:如果用户跑过
podman或docker,得清理/var/lib/{containers,podman}下归属该 UID 的目录(用find /var/lib -uid $(id -u username_tmp) -print扫)
最麻烦的其实是服务单元文件——有人会为临时账号写 systemd --user 服务,删用户后 .service 还在磁盘上,下次同名用户创建会意外启动旧服务。这一步没法全自动,得靠命名规范(比如强制要求服务名含 _tmp)+ 定期扫描清理。
