Про то зачем создавать непривилегированного пользователя
Для начала давай поймём разницу между привилегированным и непривилегированным пользователем. Первый, он часто существует под именем root, может без каких-либо ограничений читать, записывать, создавать и менять любые файлы в системе. Другой в свою очередь тоже может читать, записывать, создавать и менять файлы, но с ограничениями. И без специальных прав доступа и соответствующего пароля, ни как не может навредить системе.
Причину по которой это делается, лучше объяснить на примере. Так, когда идёт разворачивание твоего веб сервера, например на Nginx, делается это от имени специального пользователя - www. Действия и "перемещения" которого ограничены лишь директориями сайта.
И если данного пользователя и скомпрометируют у злоумышленника не будет возможности, например, получить доступ к базам данных, которые управляются обычно уже другим пользователем.
Как создать и настроить непривилегированного пользователя
Дальше я покажу как можно создать пользователя на Linux серверах, разницы в создании такого пользователя на Debian/Ubuntu и CentOS/RHEL не велика. Я покажу все нюансы.
Так, чтобы создать пользователя (с домашней директорией) и задать ему пароль, можно использовать следующую команду:
Если не нужно, чтобы у пользователя была своя домашняя директория, просто убели флаг -m. Пароль кстати тоже можно не добавлять, но это вызовет некоторые "трудности" для работы с данным пользователем. Так, чтобы войти в систему под этим пользователем необходим пароль.
Флаг -s позволяет указать командную оболочку по умолчанию. Я нахожу, bash гораздо более удобной чем sh.
Это мы добавили самого обычного пользователя в систему, теперь нужно сделать его администратором. Это всё ещё не root-пользователь, но он уже может менять системные настройки и скачивать необходимые ему пакеты в систему. Для того чтобы обычный пользователь стал администратором, нужно добавить его в специальные группы: sudo для Debian/Ubuntu, wheel для CentOS/RHEL
Флаги -a и -G говорят команде usermod добавить пользователя в группу sudo, с сохранением этого же пользователя в других группах, в которых тот состоял до этого.
Наконец, чтобы перейти в систему под новым пользователем используй эту команду:
Так как ты работашь с Linux-сервером тебе наверное было бы интересно ещё узнать, как вообще перестать пользоваться паролем для логирования на сервер. Для этого можно создать SSH-ключи и использовать их на постоянной основе.
