Ubuntu系统中如何创建新用户并赋予sudo权限？

一、现象层：典型报错与用户侧感知

• 执行 sudo useradd alice 后，切换至 alice 用户并运行 sudo apt update，返回错误：alice is not in the sudoers file. This incident will be reported.
• SSH 登录新用户后执行任意 sudo 命令均被拒绝，且 /var/log/auth.log 记录 PAM authentication failure
• 手动编辑 /etc/sudoers 后，所有用户（包括 root）的 sudo 全局失效，提示 sudo: parse error in /etc/sudoers near line X

二、机制层：Ubuntu 用户权限模型深度解析

Ubuntu 默认采用「组授权」而非「sudoers 显式条目」机制：只要用户属于 sudo 组（GID 27），即自动获得完整管理员权限。该策略由 /etc/sudoers.d/10-installer 中的 %sudo ALL=(ALL:ALL) ALL 规则驱动。而 useradd 是 POSIX 标准工具，不依赖发行版策略——它仅修改 /etc/passwd 和 /etc/shadow，完全跳过组分配、家目录初始化、shell 设置及 PAM 配置。

三、操作层：安全可复现的标准化流程

1. 创建用户（含家目录与默认 shell）：sudo adduser --gecos "" --disabled-password alice（推荐）或 sudo useradd -m -s /bin/bash alice
2. 设置密码（强制非空且符合 PAM 策略）：echo "alice:SecurePass123!" | sudo chpasswd
3. 授予 sudo 权限（原子化追加组）：sudo usermod -aG sudo alice
4. 验证组成员关系：getent group sudo | cut -d: -f4 → 应含 alice

四、验证层：多维度权限生效确认

五、防御层：sudoers 安全编辑黄金准则

# ✅ 正确做法（使用 visudo 自动语法校验）
sudo visudo -f /etc/sudoers.d/alice-admin

# ❌ 危险操作（直接 vim 编辑无校验）
vim /etc/sudoers  # 可能引入不可恢复的语法错误

# 🔐 备份与回滚机制（自动化脚本片段）
sudo cp /etc/sudoers /etc/sudoers.$(date +%s).bak
sudo visudo -c && echo "✅ Syntax OK" || { echo "❌ Rollback!"; sudo cp /etc/sudoers.$(date +%s).bak /etc/sudoers; }

六、排障层：PAM 与认证链深度诊断

若用户已属 sudo 组但仍被拒绝，需检查：

• sudo pam_authenticate() failed: Authentication failure → 检查 /etc/pam.d/sudo 是否被篡改
• getent shadow alice 返回空 → 密码未正确设置（chpasswd 比 passwd 更适合脚本化）
• SELinux/AppArmor 限制（Ubuntu 默认禁用 SELinux，但 AppArmor profile /etc/apparmor.d/usr.sbin.sudo 可能误配）

七、工程层：CI/CD 友好型幂等脚本（Mermaid 流程图）