命令标题

将用户 svc_ci 添加到 docker 组（CentOS）

核心命令

sudo usermod -aG docker svc_ci

参数说明

• usermod：修改已存在用户的账户信息（CentOS 自带，来自 shadow-utils 包）
• -a：append，追加组成员资格；仅与 -G 一起使用时有效
• -G docker：将用户添加到名为 docker 的附加组（补充组）
• svc_ci：目标用户名

可选等效方式（不替代主命令，仅供参考）：

sudo gpasswd -a svc_ci docker

• gpasswd -a：向指定的本地组追加成员（修改 /etc/group）

执行前提

• 需要以 root 或具备 sudo 权限的用户执行
• 目标用户与组应已存在
  • 检查用户是否存在：

    id svc_ci
    

  • 检查组是否存在：

    getent group docker
    

  • 若 docker 组不存在（通常安装 Docker 时会自动创建），可创建：

    sudo groupadd docker
    

注意事项

• 严禁遗漏 -a 参数：在使用 -G 时不加 -a 会覆盖用户现有的附加组，造成权限丢失风险。
• 会话刷新：组变更对已登录会话不会立即生效，需重新登录该用户会话或开启新登录会话。
• 安全性提醒：将用户加入 docker 组等同赋予近似 root 权限（可通过 Docker 控制主机），请严格控制组成员并记录变更。
• 如账户和组来自集中认证（如 LDAP/SSSD），请在目录服务侧进行变更或确保本地变更策略允许覆盖。
• 不要直接手工编辑 /etc/passwd、/etc/group 文件，避免语法错误导致登录异常。

验证方法

• 验证组成员关系：

  id svc_ci
  # 或
  groups svc_ci
  # 或
  getent group docker
  

  期望输出中应包含 docker 组或 docker:...svc_ci。
• 验证会话生效：
  • 重新登录为 svc_ci，或在当前终端测试临时会话：

    sudo -iu svc_ci id
    

    应显示 docker 在附加组列表中。
  • 如需在不重新登录的情况下临时启用新的组：

    sudo -iu svc_ci newgrp docker
    id
    

• 如已安装并运行 Docker，可进一步验证访问权限：

  sudo -iu svc_ci docker ps
  

  能正常列出容器则说明权限已生效。

命令标题

在 Red Hat 系发行版上将用户 intern_2025 添加为具备 sudo 管理权限的用户

核心命令

推荐做法（RHEL/CentOS/AlmaLinux/Rocky 的标准管理员组是 wheel）：

usermod -aG wheel intern_2025

如必须使用名为 sudo 的组（RHEL 默认无此组，需先创建并在 sudoers 中授权）：

1. 若组不存在则创建：

groupadd sudo

2. 使用 visudo 授权该组具备 sudo 权限（在编辑器中添加或确保存在如下行）：

%sudo ALL=(ALL) ALL

3. 将用户加入 sudo 组：

usermod -aG sudo intern_2025

参数说明

• usermod：修改现有用户的账户属性。
• -a：append，追加到附加组列表（必须与 -G 一起使用）。
• -G <组列表>：设置附加组列表（与 -a 搭配可避免覆盖现有附加组）。
• groupadd：创建新用户组（仅在需要自建 sudo 组时使用）。
• visudo：安全编辑 /etc/sudoers，带语法检查，避免语法错误导致 sudo 不可用。

执行前提

• 以 root 身份执行或使用已具备 sudo 权限的账户执行上述命令。
• 用户 intern_2025 已存在：可用 id intern_2025 验证。
• 推荐使用 wheel 组（RHEL 标准做法）。如使用 sudo 组：
  • 确认是否已有同名组（例如来自 LDAP/AD）：getent group sudo
  • 用 visudo 确保 %sudo 在 /etc/sudoers 中被授权。
• 系统已安装 sudo（大多默认已装）。如需检查：rpm -q sudo；未安装时可用 dnf install -y sudo（RHEL 8/9）或 yum install -y sudo（RHEL 7）。

注意事项

• 切勿使用 usermod -G 而不带 -a，否则会覆盖并清空用户现有的附加组，带来权限丢失风险。
• Red Hat 系默认使用 wheel 组管理 sudo 权限；sudo 组是 Debian/Ubuntu 的惯例。优先使用 wheel，可减少配置偏差和维护成本。
• 修改完成后，用户需要重新登录（或 su - intern_2025 打开新登录会话）才能获得新的组权限。已打开的会话不会立即生效。
• 编辑 sudoers 时务必使用 visudo（而不是直接编辑文件），以避免语法错误导致 sudo 功能不可用。
• 若需要免密执行 sudo，请在 sudoers 中使用更细粒度的规则，谨慎启用 NOPASSWD，遵循最小权限原则。

验证方法

• 确认用户已在目标组：

id intern_2025
groups intern_2025

• 确认 sudoers 中已启用对应组（wheel 或 sudo）：

grep -E '^\s*%(wheel|sudo)\s+ALL=\(ALL\)\s+ALL' /etc/sudoers
visudo -c

• 以该用户检查 sudo 权限（需要用户已设置密码）：

su - intern_2025
sudo -l

• 简单功能测试（例如仅列目录需要密码验证，不会改动系统）：

sudo -v            # 验证凭据缓存
sudo ls /root      # 应提示输入密码并成功列出（仅作验证）