在Linux系统管理中,权限控制是安全防护的核心环节。本文将通过实际案例分享用户与组权限控制的最佳实践。
问题场景: 某企业服务器存在普通用户可访问敏感配置文件的风险。经过排查发现,系统中存在一个名为"webuser"的用户,其主目录下存放着数据库连接凭证文件。
踩坑过程:
- 初步检查权限状态:
ls -l /home/webuser/
# 输出显示文件权限为-rw-r--r-- 1 webuser webuser 256 1月1日 12:00 db_config.ini
- 立即执行修复操作:
chmod 600 /home/webuser/db_config.ini
chown webuser:webuser /home/webuser/db_config.ini
关键配置策略:
- 建立专用用户组:
sudo groupadd -r secureapps - 将相关用户加入安全组:
sudo usermod -aG secureapps webuser - 通过ACL设置精细权限:
setfacl -m u:webuser:rw /home/webuser/db_config.ini
验证步骤:
getfacl /home/webuser/db_config.ini
# 输出显示:
# # file: /home/webuser/db_config.ini
# # owner: webuser
# # group: webuser
# user::rw-
# user:webuser:rwx
# group::r--
通过以上配置,我们成功将敏感文件的访问权限限制在最小必要范围内,有效降低了安全风险。
讨论