AWS EB自动化创建系统用户的最佳实践

1. 问题背景与需求分析

最近在部署一个基于AWS Elastic Beanstalk（EB）的Web应用时，遇到了一个典型的基础设施管理需求：需要在EB自动创建的EC2实例上预先配置两个系统用户——audituser和securityuser。这两个账号分别用于审计日志收集和安全监控工具的运行。

在传统服务器管理中，我们通常会直接SSH登录机器执行useradd命令。但在EB这种PaaS服务中，实例可能随时被自动扩展或替换，手动操作显然不可行。我们需要一种声明式、可重复的自动化方案。

经过评估，主要有三种实现路径：

1. 启动后脚本（User Data）：通过EC2的user-data机制在实例首次启动时执行脚本
2. EB扩展配置文件：利用EB的.ebextensions配置机制
3. 自定义AMI：预先构建包含所需用户的系统镜像

综合比较后，我选择了方案2，原因如下：

• 无需维护镜像：自定义AMI需要定期更新基础镜像，增加运维负担
• 配置即代码：.ebextensions文件可纳入版本控制，与应用代码一同部署
• 灵活性高：可以针对不同环境（dev/staging/prod）配置不同用户

2. 解决方案设计与实现

2.1 EB扩展文件工作机制

Elastic Beanstalk的.ebextensions目录是AWS提供的一种基础设施即代码(IaC)方案。当应用部署时，EB会按字母顺序执行该目录下所有.config文件中的指令。这些配置文件采用YAML格式，支持多种操作类型：

• commands：直接执行shell命令
• files：创建或修改文件
• packages：安装系统软件包
• services：管理系统服务

我们的用户创建需求适合使用commands指令实现。

2.2 具体配置解析

以下是优化后的06add-users.config文件内容及详细说明：

yaml复制commands:
  create_audit_user:
    command: |
      if ! id -u audituser >/dev/null 2>&1; then
        sudo useradd \
          --system \
          --home-dir /var/audituser \
          --shell /bin/bash \
          --comment "Audit logging account" \
          --user-group \
          audituser
        echo "audituser ALL=(ALL) NOPASSWD: /usr/bin/rsync" >> /etc/sudoers.d/audituser
        mkdir -p /var/audituser/.ssh
        chmod 700 /var/audituser/.ssh
      fi
    ignoreErrors: false
    test: "! id -u audituser >/dev/null 2>&1"

  create_security_user:
    command: |
      if ! id -u securityuser >/dev/null 2>&1; then  
        sudo useradd \
          --system \
          --home-dir /var/securityuser \
          --shell /bin/bash \
          --comment "Security monitoring account" \
          --user-group \
          securityuser
        install -d -o securityuser -g securityuser /var/securityuser/scripts
      fi
    ignoreErrors: false
    test: "! id -u securityuser >/dev/null 2>&1"

关键改进点说明：

1. 幂等性处理：通过test字段和if判断确保用户不存在时才创建，避免重复执行报错
2. 完整权限配置：为audituser添加了特定的sudo权限（无密码执行rsync）
3. 目录初始化：创建了相应用户的home目录并设置正确权限
4. 错误处理：明确设置ignoreErrors: false让部署失败时能及时发现问题

2.3 用户参数详解

每个useradd命令的参数都有特定用途：

• --system：创建系统用户（UID<1000），适合服务账户
• --home-dir：指定家目录位置，通常系统用户放在/var下
• --shell：设置为/bin/bash以便必要时可以登录
• --comment：添加描述信息，便于后续管理
• --user-group：创建与用户同名的专属用户组

3. 部署验证与问题排查

3.1 部署流程

1. 将.ebextensions/06add-users.config文件加入项目代码库
2. 通过eb deploy或CI/CD管道部署应用
3. 部署完成后，通过EB控制台获取实例SSH访问权限
4. 登录实例验证用户创建情况

3.2 验证命令

bash复制# 检查用户是否存在
id audituser
id securityuser

# 检查家目录权限
ls -ld /var/audituser /var/securityuser

# 验证sudo权限
sudo -U audituser -l

3.3 常见问题与解决

问题1：部署失败，报错"useradd: permission denied"

• 原因：未使用sudo执行命令
• 解决：确保所有useradd命令都有sudo前缀

问题2：用户已存在导致部署中断

• 原因：重新部署时未处理已存在用户
• 解决：添加幂等性检查（如示例中的if判断）

问题3：家目录权限不正确

• 原因：useradd默认创建的目录可能属主是root
• 解决：显式设置目录权限（如示例中的chmod和install命令）

问题4：sudoers配置语法错误

• 原因：直接追加到/etc/sudoers可能破坏文件
• 解决：使用/etc/sudoers.d/下的独立文件

4. 进阶配置建议

4.1 SSH密钥配置

为方便管理，可以通过.ebextensions同时部署SSH公钥：

yaml复制files:
  "/var/audituser/.ssh/authorized_keys":
    mode: "0600"
    owner: audituser
    group: audituser
    content: |
      ssh-rsa AAAAB3NzaC1yc2E... audit-key

4.2 多环境差异化配置

在04env-specific-users.config中实现环境区分：

yaml复制commands:
  create_staging_users:
    command: |
      # 仅staging环境需要的用户
      useradd staginguser
    test: '[ "${ENVIRONMENT_TYPE}" == "staging" ]'

4.3 用户密码策略

通过files指令配置密码过期策略：

yaml复制files:
  "/etc/login.defs":
    mode: "0644"
    owner: root
    group: root
    content: |
      PASS_MAX_DAYS 90
      PASS_MIN_DAYS 7
      PASS_WARN_AGE 14

5. 安全最佳实践

1. 最小权限原则：

   • 仅为必要命令配置sudo权限
   • 使用NOPASSWD时要特别谨慎

2. 日志审计：

   yaml复制files:
     "/etc/rsyslog.d/30-audituser.conf":
       content: |
         if $syslogtag contains 'sudo' and $msg contains 'audituser' then /var/log/sudo-audit.log
   

3. 定期轮换：

   • 每季度更新SSH密钥
   • 通过EB配置自动部署新密钥

4. 网络隔离：

   • 结合安全组限制SSH访问源IP
   • 考虑使用Session Manager代替直接SSH

在实际项目中，这套方案已经稳定运行超过一年，支持了数十次自动扩展事件。最关键的经验是：所有配置变更都应先在staging环境充分验证，特别是涉及系统权限的修改。一次错误的sudo配置就可能导致整个环境不可用，需要重建。