在Linux系统中,用户权限管理是安全防护的基础。本文将通过具体案例,展示从基础到高级的权限控制策略。
基础权限控制
首先,使用useradd创建受限用户:
sudo useradd -m -s /bin/false restricted_user
然后通过/etc/sudoers文件限制其权限:
restricted_user ALL=(ALL) NOPASSWD: /usr/bin/systemctl, /usr/bin/ls
这允许用户执行特定命令而无需密码。
高级权限管理
使用sudoers的Defaults选项控制会话超时:
Defaults timestamp_timeout=5
Defaults pwfeedback
设置5分钟超时,增强安全性。
文件权限控制
通过setgid位实现组权限继承:
mkdir /opt/project
chmod 2775 /opt/project
chgrp -R developers /opt/project
确保新创建的文件自动继承目录组权限。
审计配置
启用auditd服务记录权限变更:
sudo systemctl enable auditd
sudo auditctl -w /etc/passwd -p wa -k passwd_change
通过审计规则监控关键文件的修改行为。
这些策略在生产环境中需结合具体业务场景进行调整,建议先在测试环境验证后再上线。
讨论