Debian Dopra下的用户权限如何设置
导读:Debian 用户权限设置实操指南 适用范围与说明 你提到的“Debian Dopra”应为Debian系发行版(如 Debian、Ubuntu 等)。以下做法在常见的 Debian 稳定版中通用。 权限体系由三部分构成: 用户与用户组...
Debian 用户权限设置实操指南
适用范围与说明
- 你提到的“Debian Dopra”应为Debian系发行版(如 Debian、Ubuntu 等)。以下做法在常见的 Debian 稳定版中通用。
- 权限体系由三部分构成:
- 用户与用户组;2) 文件/目录权限(rwx);3) sudo 授权与细粒度限制。
- 建议始终使用最小权限原则与visudo编辑 sudoers,避免直接修改系统文件导致语法错误无法登录。
用户与用户组管理
- 创建与删除
- 创建用户:
sudo adduser username(交互式,自动创建家目录与同名组) - 删除用户:
sudo deluser username;连同家目录删除:sudo deluser --remove-home username
- 创建用户:
- 修改与查询
- 修改主目录并迁移:
sudo usermod -d /new/home -m username - 修改用户名:
sudo usermod -l newname oldname - 查看所属组:
groups username
- 修改主目录并迁移:
- 用户组
- 新建组:
sudo groupadd groupname - 删除组:
sudo groupdel groupname - 将用户加入附加组:
sudo usermod -aG groupname username(务必使用**-a**,避免覆盖原有附加组) - 从组移除:
sudo gpasswd -d username groupname
- 新建组:
- 典型场景
- 为部署 Web 服务,将开发者加入 www-data:
sudo usermod -aG www-data alice
以上命令均为 Debian 常用做法,适用于日常用户与组管理。
- 为部署 Web 服务,将开发者加入 www-data:
文件与目录权限设置
- 基本权限与数字模式
- 查看权限:
ls -l - 数字模式:r=4,w=2,x=1;如 755=rwxr-xr-x,644=rw-r–r–
- 常用示例:
- 脚本可执行:
chmod u+x script.sh - 目录常用:755(所有者 rwx,组/其他 rx)
- 私有文件:600(仅所有者读写)
- 脚本可执行:
- 查看权限:
- 更改属主与属组
- 更改所有者:
sudo chown username file - 更改所属组:
sudo chgrp groupname file - 递归更改目录:
sudo chown -R www-data:www-data /var/www/html
- 更改所有者:
- 共享目录的组协作
- 将目录组设为共享组并赋权:
sudo chgrp -R devs /data & & sudo chmod -R 775 /data - 确保新建文件继承组:在目录上设置setgid:
sudo chmod g+s /data
- 将目录组设为共享组并赋权:
- 细粒度访问控制(ACL)
- 安装:
sudo apt-get install acl - 为用户授予目录权限:
sudo setfacl -m u:bob:rwx /data - 查看 ACL:
getfacl /data
- 安装:
- 权限速查表
- 目录:755(drwxr-xr-x)适合大多数服务目录
- 私有文件:600(-rw-------)适合密钥、配置
- 共享编辑:775(drwxrwxr-x)配合组协作
以上命令覆盖日常权限设置与 ACL 细粒度授权。
sudo 授权与细粒度限制
- 安全编辑 sudoers:
sudo visudo - 授予完整 sudo:
- 给用户:
username ALL=(ALL:ALL) ALL - 给组(Debian 常见管理员组为 sudo):
%sudo ALL=(ALL:ALL) ALL
- 给用户:
- 免密 sudo(按需):
%sudo ALL=(ALL:ALL) NOPASSWD:ALL - 限制到特定命令(命令别名与用户别名)
- 示例:仅允许 zhangsan 执行分区工具
Cmnd_Alias DISK=/sbin/fdisk zhangsan ALL=DISK - 示例:允许一组用户仅做用户管理
User_Alias OPERATORS=zhangsan,lisi Cmnd_Alias UADM=/usr/sbin/useradd,/usr/sbin/userdel OPERATORS ALL=UADM - 示例:开放 /sbin 下多数命令但排除关机/重启
teacherfu ALL=/sbin/*,!/sbin/poweroff,!/sbin/init
- 示例:仅允许 zhangsan 执行分区工具
- 查看某用户可用 sudo 权限:
sudo -l -U username - 安全提示:永远使用visudo编辑,避免语法错误导致无法使用 sudo。
服务场景与加固建议
- LAMP/Web 目录
- 目录属主/属组:
sudo chown -R www-data:www-data /var/www/html - 权限:目录 755,文件 644;上传目录可 775 并设 setgid
- 开发者协作:将开发者加入 www-data 组,使用 ACL 为特定目录授予额外权限
- 目录属主/属组:
- ACL 与文件系统
- 启用 ACL(若未启用):
sudo tune2fs -o acl /dev/sdXn & & sudo mount -o remount /mount_point
- 启用 ACL(若未启用):
- 安全模块
- AppArmor:Debian 通常默认启用,可为服务加载/切换配置:
sudo aa-enforce /etc/apparmor.d/usr.sbin.httpd - SELinux:Debian 默认不启用,如需:
sudo apt-get install selinux-basics selinux-policy-default & & sudo setenforce 1
- AppArmor:Debian 通常默认启用,可为服务加载/切换配置:
- 远程运维
- 建议禁用 root 直接登录,使用普通用户 + sudo;通过
ssh-copy-id部署公钥实现免密登录(仍受 sudo 约束)
以上做法覆盖 Web 服务常见权限模型、ACL 与 AppArmor/SELinux 的基本用法。
- 建议禁用 root 直接登录,使用普通用户 + sudo;通过
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Debian Dopra下的用户权限如何设置
本文地址: https://pptw.com/jishu/753682.html