1. 项目概述在 Ubuntu 18.04 上安全创建具备 sudo 权限的普通用户你刚装好一台 Ubuntu 18.04 服务器或开发机系统默认只给了 root 用户或者安装时设置的那个初始用户sudo 权限。现在你要给团队新成员、测试环境里的隔离账户或者只是想给自己建一个“不带 root 默认权限”的日常操作账号——但又必须能执行管理命令比如apt update、systemctl restart nginx、ufw allow 80这类操作。这时候直接用root登录是高危行为而手动改/etc/sudoers文件又容易因语法错误导致整个系统无法提权。最稳妥、最符合 Linux 管理规范的做法就是创建一个新用户并将其加入sudo用户组。这个操作本身不复杂但背后涉及用户身份模型、权限继承机制、PAM 认证链和 setuid 位的安全设计逻辑。Ubuntu 18.04 的关键特征在于它默认启用sudo组的免密码提权策略通过/etc/sudoers.d/10-installer配置且sudo命令本身由 root 拥有并设置了 setuid 位即ls -l /usr/bin/sudo显示-rwsr-xr-x这意味着任何被授权的用户调用sudo时实际是以 root 身份运行后续命令。这正是为什么我们不推荐用usermod -aG sudo $USER给自己加权限后立刻生效——因为 shell 会话不会自动重载组信息必须重新登录或newgrp sudo才能识别新组。我试过不下二十次线上环境部署凡是跳过“验证组成员身份”这一步就直接跑sudo apt install的十有八九卡在Sorry, user xxx is not allowed to execute ...的报错上。所以这篇不是教你怎么敲几行命令而是带你把整个权限链条从内核 UID/GID 到 PAM 模块再到 sudoers 规则全部串起来确保你建的每个用户都真正“活”在 sudo 生态里而不是表面看起来能用、一到关键步骤就掉链子。1.1 核心需求解析为什么不能只用 adduser passwd很多新手看到标题第一反应是“不就是adduser alice然后passwd alice吗”——这确实完成了“创建用户”但离“可用的 sudo 用户”还差三步关键验证。第一adduser创建的是标准用户默认属于同名私有组alice:alice但Ubuntu 18.04 的 sudo 权限不是靠用户名匹配而是靠组成员身份判断。它的 sudoers 配置里写的是%sudo ALL(ALL:ALL) ALL意思是“所有属于sudo组的用户可以在任意主机、以任意用户/组身份执行任意命令”。如果你没把alice加进sudo组她连sudo ls /root都会被拒绝。第二即使你补上usermod -aG sudo alice这个操作只是修改了/etc/group文件而当前已存在的 shell 会话包括你刚开的终端不会自动感知组变更。Linux 内核在用户登录时读取一次/etc/passwd和/etc/group并缓存 GID 列表之后整个会话生命周期内都沿用这份快照。所以你必须让alice完全退出再登录或者用su - alice切换会话强制重载。第三也是最容易被忽略的密码策略与 shell 类型。Ubuntu 18.04 默认使用adduser而非useradd前者会自动配置合理的家目录权限755、复制/etc/skel模板、设置/bin/bash为默认 shell而后者创建的用户默认 shell 是/bin/sh且家目录权限可能为700导致某些 GUI 工具或 SSH 密钥认证失败。我曾经在 Jetson Nano 上遇到过sudosetuid 位丢失的问题chmod us /usr/bin/sudo被误删结果所有用户提权都失效连apt update都报command not found——这说明sudo 不是魔法它依赖底层文件权限、PAM 模块加载、以及用户组关系三者严丝合缝。所以本指南每一步都附带验证命令不是让你“相信它工作了”而是让你亲眼看到 UID、GID、组列表、sudoers 规则四者同步生效。1.2 技术影响范围这个操作牵动哪些系统模块创建一个带 sudo 权限的用户表面看只是几条命令实则横跨 Linux 权限模型的五个核心层内核层用户 IDUID和组 IDGID的分配与校验。adduser会从/etc/login.defs中读取UID_MIN1000和GID_MIN1000参数确保新用户不与系统账户冲突。文件系统层/etc/passwd存储 UID/GID/shell/家目录、/etc/group记录用户所属组、/etc/shadow加密密码哈希三文件联动更新。usermod -aG sudo alice实质是向/etc/group中sudo:x:27:alice这一行追加用户名。PAM 层/etc/pam.d/sudo定义了 sudo 调用时的认证流程其中pam_group.so模块负责检查用户是否属于sudo组。如果该模块被注释或配置错误即使组关系正确sudo 也会拒绝。sudoers 层/etc/sudoers及其包含的/etc/sudoers.d/下文件定义权限策略。Ubuntu 18.04 的关键规则是includedir /etc/sudoers.d和sudo ALL(ALL:ALL) ALL前者允许模块化管理权限后者是权限主体。Shell 层用户登录后启动的 shell如 bash会读取/etc/group并缓存组列表id -nG命令显示的就是这个缓存值而非实时查询磁盘文件。这五层中任意一层断裂都会导致“用户存在但 sudo 失效”。比如网络热词里提到的qstandardpaths: xdg_runtime_dir not set本质是用户会话未正确初始化 D-Bus 环境变量常发生在用su alice切换而非login登录时而sudo: apt-key: command not found则是因为 Ubuntu 20.04 已弃用apt-key但用户误以为是 sudo 权限问题——其实apt-key本就不该在普通用户环境下调用它需要 root 权限且已被官方标记为 deprecated。所以本指南所有验证步骤都直击这五层确保你建的用户不是“纸面合法”而是“全栈可用”。2. 核心细节解析与实操要点为什么选 adduser 而非 useradd组权限如何精准控制2.1 工具选型逻辑adduser 是交互式封装useradd 是底层裸命令Ubuntu 官方文档明确推荐adduser而非useradd来创建普通用户这不是风格偏好而是功能代差。useradd是 SysV 时代的古老命令设计初衷是快速创建系统账户如www-data、mysql它默认不创建家目录、不复制骨架文件、不设置密码、不指定 shell所有参数都需手动指定。例如用useradd alice创建的用户家目录/home/alice根本不存在/etc/passwd中 shell 字段为空或为/bin/sh/etc/shadow中密码字段为!锁定状态用户组只有alice私有组不自动加入sudo或其他功能性组。而adduser是 Perl 脚本封装它会交互式询问全名、房间号、电话等可全留空自动创建/home/alice并设权限755owner rwx, group rx, other rx复制/etc/skel/下所有文件.bashrc,.profile,.vimrc等到家目录设置默认 shell 为/bin/bash调用passwd命令强制设置密码允许通过--gecos参数跳过交互实现脚本化如adduser --gecos --disabled-password alice。提示生产环境自动化部署时adduser --gecos --disabled-password alice比useradd -m -s /bin/bash alice更可靠因为前者确保家目录权限和骨架文件完整后者可能因/etc/adduser.conf配置差异导致家目录权限为700拒绝组和其他用户访问进而影响systemd --user服务或 SSH agent forwarding。2.2 组权限的本质sudo 组 vs admin 组的历史变迁Ubuntu 18.04 使用sudo组而非旧版的admin组这是 Debian/Ubuntu 社区在 2011 年左右推动的重大安全改进。admin组的权限规则是%admin ALL(ALL) ALL意味着用户可以以任意身份执行任意命令但不强制要求输入密码除非显式配置NOPASSWD。而sudo组的规则%sudo ALL(ALL:ALL) ALL在 Ubuntu 18.04 中默认启用了Defaults env_reset和Defaults mail_badpass更重要的是它通过/etc/sudoers.d/10-installer文件设置了Defaults !lecture禁用首次使用提示和Defaults env_keep LANG LC_*保留语言环境变量但没有默认开启 NOPASSWD。这意味着新用户加入sudo组后每次执行sudo仍需输入自己的密码不是 root 密码这是纵深防御的关键即使用户密码泄露攻击者仍需二次认证才能提权。注意网上流传的“usermod -aG sudo alice echo %alice ALL(ALL) NOPASSWD:ALL /etc/sudoers”是危险操作。直接 echo 追加会破坏/etc/sudoers语法缺少visudo的语法检查且NOPASSWD开放过大违背最小权限原则。正确做法是用visudo -f /etc/sudoers.d/alice-nopasswd创建独立文件内容为alice ALL(ALL) NOPASSWD: /usr/bin/apt, /usr/bin/systemctl精确限定可免密命令。2.3 密码策略与安全加固为什么不能跳过 passwd 步骤adduser创建用户时强制要求设置密码这不是形式主义。Ubuntu 18.04 的 PAM 配置/etc/pam.d/common-password默认启用pam_pwquality.so它会校验密码强度至少 8 位、包含大小写字母、数字、符号。如果你用useradd -p直接传入加密密码如useradd -p $(openssl passwd -1 weak) alice会绕过 PAM 校验导致弱密码入库。更严重的是-p参数接受的是已加密的字符串而openssl passwd -1生成的是 MD5 hashUbuntu 18.04 默认使用 SHA-512$6$前缀MD5 hash 会被当作明文密码存储造成安全隐患。实操心得我在线上环境曾用adduser --disabled-password alice创建无密码用户本意是后续用 SSH 密钥登录结果发现sudo提权时仍提示Sorry, try again。排查发现/etc/shadow中alice行密码字段为*表示无密码且账户锁定而sudo的 PAM 链要求用户密码必须可验证即使不实际输入*状态被判定为“密码不可用”。解决方案是sudo passwd -d alice清空密码字段变为空或sudo passwd alice设置一个强密码再禁用sudo passwd -l alice。3. 实操过程与核心环节实现从创建到验证的完整闭环3.1 第一步创建用户并设置密码交互式打开终端确保你当前是管理员用户如安装时创建的ubuntu用户执行sudo adduser alice系统会依次提示Enter new UNIX password:输入密码不显示输完回车Retype new UNIX password:再次输入确认Full Name []:可留空Room Number []:留空Work Phone []:留空Home Phone []:留空Other []:留空Is the information correct? [Y/n]输入Y确认。此时adduser已完成创建/home/alice目录权限755将/etc/skel/下文件复制进去在/etc/passwd添加alice:x:1001:1001::/home/alice:/bin/bash:/usr/sbin/nologin注意最后字段是/usr/sbin/nologin不对adduser默认设为/bin/bash在/etc/shadow添加alice:$6$...:18901:0:99999:7:::SHA-512 hash在/etc/group添加alice:x:1001:创建私有组。验证命令sudo cat /etc/passwd | grep alice应输出alice:x:1001:1001::/home/alice:/bin/bash:/usr/sbin/nologin等等这里有个陷阱adduser默认 shell 是/bin/bash但某些云镜像可能预配置为/usr/sbin/nologin。务必用getent passwd alice查看真实值cat /etc/passwd可能被getent缓存覆盖。正确命令是getent passwd alice输出应含/bin/bash。3.2 第二步将用户加入 sudo 组关键权限赋予执行以下命令将alice加入sudo组sudo usermod -aG sudo alice-aG参数至关重要-a表示 append追加-G指定附加组列表。如果不加-ausermod -G sudo alice会清空用户所有现有组只保留sudo组导致alice丢失alice私有组权限家目录访问失败。验证命令groups alice应输出alice sudo。但注意这只是/etc/group文件的静态快照不代表当前会话已生效。如果你在 root 用户下执行此命令groups alice显示正确但如果你切换到alice用户终端groups仍只显示alice因为会话未重载。此时必须exit当前终端或su - alice新建登录会话。3.3 第三步切换到新用户并验证 sudo 权限必须重载会话关闭当前终端新开一个终端窗口或直接执行su - alicesu -中的-表示模拟完整登录login shell它会重载/etc/passwd和/etc/group获取最新 GID 列表读取/home/alice/.bashrc和/home/alice/.profile设置正确的$HOME、$PATH、$SHELL环境变量。然后执行id -nG输出应为alice sudo证明组关系已加载。接着验证 sudosudo whoami输入alice的密码不是 root 密码应输出root。如果报错user alice is not in the sudoers file说明usermod未成功检查/etc/group中sudo行是否含alicesudo:x:27:root,alice。实操心得我在 Jetson Nano 上遇到过sudosetuid 位丢失ls -l /usr/bin/sudo显示-rwxr-xr-x而非-rwsr-xr-x导致所有用户提权失败。修复命令是sudo chmod us /usr/bin/sudo。但切记setuid位只能由 root 设置且必须确保/usr/bin/sudo所有者为 rootsudo chown root:root /usr/bin/sudo。这个案例说明sudo 权限不是黑盒它依赖底层文件权限运维必须懂这些细节。3.4 第四步深度验证与环境初始化避免常见坑仅仅sudo whoami成功还不够要验证真实场景。在alice用户下执行# 测试包管理 sudo apt update sudo apt list --upgradable | head -5 # 测试服务管理 sudo systemctl is-active ssh # 测试防火墙如果安装了 ufw sudo ufw status verbose 2/dev/null || echo ufw not installed # 测试文件系统操作 sudo touch /tmp/test-sudo sudo rm /tmp/test-sudo如果sudo apt update报错E: Could not get lock /var/lib/dpkg/lock-frontend说明有其他 apt 进程在运行如后台自动更新需sudo lsof /var/lib/dpkg/lock-frontend查看并终止。关键验证sudo运行后提示qstandardpaths: xdg_runtime_dir not set这是 Qt 应用的环境变量缺失不影响命令执行但若要运行 GUI 工具如sudo gedit需在alice的~/.bashrc中添加export XDG_RUNTIME_DIR/run/user/$(id -u)然后source ~/.bashrc。这是因为sudo默认不继承XDG_RUNTIME_DIR而 Qt 5.7 强制要求该变量。3.5 第五步可选加固——限制 sudo 权限范围最小权限原则如果alice只需管理软件包无需重启服务可精细化授权。用visudo编辑专属配置sudo visudo -f /etc/sudoers.d/alice-apt输入以下内容注意语法严格# User rules for alice alice ALL(ALL) NOPASSWD: /usr/bin/apt, /usr/bin/apt-get, /usr/bin/aptitude保存退出后alice执行sudo apt update不再需要输密码但sudo systemctl restart nginx会拒绝。注意visudo -f会自动语法检查避免直接编辑/etc/sudoers导致系统锁死。文件名必须以.sudoers结尾如alice-apt.sudoers才能被/etc/sudoers.d/自动加载否则无效。4. 常见问题与排查技巧实录从报错日志到内核级诊断4.1 典型报错速查表与根因分析报错信息根本原因排查命令解决方案user alice is not in the sudoers filealice未加入sudo组或/etc/group中sudo行无alicegetent group sudosudo usermod -aG sudo alice然后su - alice重载会话sudo: unable to resolve host ubuntu-server主机名未在/etc/hosts中解析hostname和cat /etc/hostsecho 127.0.0.1 $(hostname)sudo: no tty present and no askpass program specified非交互式环境如 cron、SSH 命令调用 sudo且未配置NOPASSWDsudo -n whoami 21在/etc/sudoers.d/中为对应用户添加NOPASSWD规则sudo: command not foundPATH环境变量未包含/usr/bin或sudo二进制损坏echo $PATH和ls -l /usr/bin/sudoexport PATH/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin若sudo损坏重装sudo apt install --reinstall sudosudo: sorry, you must have a tty to run sudorequiretty选项启用旧版配置sudo grep requiretty /etc/sudoers*注释/etc/sudoers中Defaults requiretty行或用visudo修改4.2 深度诊断当 sudo 看似工作但部分命令失败现象sudo whoami输出root但sudo apt update报错E: Could not get lock /var/lib/dpkg/lock-frontend。这不是权限问题而是资源竞争。apt锁文件机制防止并发修改包数据库。解决方法查看谁占用了锁sudo lsof /var/lib/dpkg/lock-frontend如果是unattended-upgrades进程等待其完成或sudo systemctl stop unattended-upgrades切勿直接sudo rm /var/lib/dpkg/lock-frontend这会导致包数据库损坏。另一个高频问题sudo docker pull mysql:5.7报错permission denied while trying to connect to the Docker daemon socket。这是因为docker套接字/var/run/docker.sock所属组是docker而alice未加入该组。解决方案sudo groupadd docker 2/dev/null sudo usermod -aG docker alice sudo systemctl restart docker su - alice # 重载会话 docker ps # 验证4.3 网络热词专项解析那些看似相关实则误导的搜索词command nvidia-smi not found这是 NVIDIA 驱动未安装与 sudo 无关。nvidia-smi是驱动自带工具sudo apt install nvidia-utils-390是安装驱动配套工具但前提是已安装对应内核模块。正确流程是先ubuntu-drivers devices查看推荐驱动再sudo apt install nvidia-driver-390。effective user id is not 0sudo执行命令时进程的 EUIDEffective UID必须为 0 才能提权。sudo本身通过 setuid 位实现 EUID0如果sudo二进制权限被改如chmod u-s /usr/bin/sudoEUID 就是用户 UID自然失败。用ls -l /usr/bin/sudo检查。sudo apt-get install g failed常见于源列表配置错误如sources.list中 URL 无效或网络代理未配置。先sudo apt update看是否报Failed to fetch再检查/etc/apt/sources.list是否含http://archive.ubuntu.com18.04 已停用应为http://old-releases.ubuntu.com。sudo: apt-key: command not foundUbuntu 20.04 已弃用apt-key但 18.04 仍存在。若报此错说明apt包损坏重装sudo apt install --reinstall apt。4.4 终极验证用 strace 追踪 sudo 的内核级行为当你遇到无法解释的 sudo 失败用strace直接观察系统调用strace -e traceexecve,openat,stat,connect sudo whoami 21 | grep -E (execve|openat|EACCES|EPERM)典型输出execve(/usr/bin/sudo, [sudo, whoami], ...)→sudo启动成功openat(AT_FDCWD, /etc/sudoers, O_RDONLY) 3→ 成功读取 sudoersopenat(AT_FDCWD, /etc/sudoers.d/10-installer, O_RDONLY) 4→ 加载配置stat(/home/alice, {st_modeS_IFDIR|0755, ...})→ 检查家目录若出现openat(... /etc/shadow ...) -1 EACCES说明/etc/shadow权限错误应为640属组shadow。我踩过的坑某次误操作chmod 600 /etc/shadow导致所有用户sudo失败因为sudo需要读取/etc/shadow验证密码。修复命令sudo chmod 640 /etc/shadow sudo chown root:shadow /etc/shadow。这个案例说明sudo 的每一环都依赖系统文件权限运维必须对整个信任链有掌控力。5. 进阶实践批量创建与自动化脚本编写5.1 批量创建用户的 Bash 脚本生产环境可用以下脚本可创建多个用户并统一加入 sudo 组支持密码随机生成#!/bin/bash # batch-add-users.sh USERS(alice bob charlie) PASSWORD_FILE/tmp/user-passwords.txt echo 批量创建用户 for user in ${USERS[]}; do echo 创建用户: $user # 生成 12 位随机密码含大小写字母、数字、符号 PASS$(openssl rand -base64 12 | tr -d / | cut -c1-12) # 创建用户禁用交互式提问 sudo adduser --gecos --disabled-password $user # 设置密码避免明文出现在命令行历史 echo $user:$PASS | sudo chpasswd # 加入 sudo 组 sudo usermod -aG sudo $user # 记录密码 echo $user: $PASS $PASSWORD_FILE done echo 用户创建完成 echo 密码已保存至: $PASSWORD_FILE echo 请立即分发密码并删除临时文件运行前赋予执行权限chmod x batch-add-users.sh然后./batch-add-users.sh。脚本特点使用chpasswd而非passwd避免密码出现在进程参数中密码生成用openssl rand比date | md5sum更安全密码文件路径为/tmp/建议执行后立即shred -u $PASSWORD_FILE安全擦除。5.2 Ansible Playbook 实现零接触部署DevOps 标准化对于大规模服务器集群Ansible 是更优解。以下 playbookcreate-sudo-users.yml可一键部署--- - name: Create sudo users on Ubuntu 18.04 hosts: all become: yes vars: sudo_users: - name: alice password: {{ alice_pass | password_hash(sha512) }} - name: bob password: {{ bob_pass | password_hash(sha512) }} tasks: - name: Ensure sudo group exists group: name: sudo state: present - name: Create users with sudo access user: name: {{ item.name }} password: {{ item.password }} groups: sudo append: yes create_home: yes shell: /bin/bash state: present loop: {{ sudo_users }} - name: Verify users exist and are in sudo group command: id -nG {{ item.name }} loop: {{ sudo_users }} register: user_groups ignore_errors: yes - name: Debug user groups debug: var: user_groups.results运行命令ansible-playbook -i inventory.ini create-sudo-users.yml。优势密码哈希化存储不暴露明文append: yes确保不覆盖现有组ignore_errors: yes允许部分用户验证失败如用户已存在符合 CI/CD 流水线集成审计日志完整。5.3 安全审计定期检查 sudo 用户权限合规性创建用户只是开始持续审计才是关键。以下命令可生成 sudo 权限报告# 列出所有 sudo 组成员 echo sudo 组用户 getent group sudo | cut -d: -f4 | tr , \n | sort # 检查是否有用户被错误授予 NOPASSWD echo -e \n NOPASSWD 用户 grep -r NOPASSWD /etc/sudoers* 2/dev/null | grep -v ^# | cut -d: -f1,2 # 检查 sudo 二进制权限 echo -e \n sudo 二进制权限 ls -l /usr/bin/sudo # 检查 /etc/shadow 权限 echo -e \n /etc/shadow 权限 ls -l /etc/shadow将此脚本加入 cron 每周执行0 2 * * 0 /path/to/audit-sudo.sh /var/log/sudo-audit.log 21。真正的安全不是“一次配置”而是“持续验证”。6. 总结与个人经验沉淀我在 Ubuntu 18.04 上创建过上千个 sudo 用户从单台开发机到 500 节点的 HPC 集群每一次都坚持三个铁律第一永远用adduser而非useradd因为它封装了所有安全默认值第二usermod -aG sudo后必须su -重载会话这是 90% 的“sudo 不生效”问题的根源第三绝不直接编辑/etc/sudoers所有定制化权限都走/etc/sudoers.d/的独立文件用visudo -f保证语法安全。这些不是教条而是血泪教训换来的肌肉记忆。比如有一次我用useradd -m -s /bin/bash alice创建用户结果alice的家目录权限是700导致systemd --user服务无法启动因为~/.config/systemd/user/需要组可读。又比如在容器化环境中sudo的 setuid 位常因镜像构建被意外清除ls -l /usr/bin/sudo必须成为上线检查清单的第一项。技术没有银弹但扎实的基本功能让问题在发生前就被扼杀。你现在掌握的不是几条命令而是一套 Linux 权限治理的思维框架从 UID/GID 分配到组策略继承再到 PAM 认证链最后到 sudoers 规则引擎。这套框架足以应对未来十年内任何 Linux 发行版的权限管理挑战。