Debian Context中如何进行用户管理
导读:Debian 环境下的用户与权限管理 一 基础用户与组管理 创建与删除 创建用户:sudo adduser username(交互式设置密码与信息);删除用户:sudo deluser username;连同主目录一起删除:sudo d...
Debian 环境下的用户与权限管理
一 基础用户与组管理
- 创建与删除
- 创建用户:sudo adduser username(交互式设置密码与信息);删除用户:sudo deluser username;连同主目录一起删除:sudo deluser --remove-home username。
- 修改与查询
- 修改登录名:sudo usermod -l newname oldname;修改家目录:sudo usermod -d /new/home -m username;修改主组:sudo usermod -g groupname username。
- 查看用户与组:id username、getent passwd、getent group。
- 组管理
- 新建组:sudo groupadd groupname;删除组:sudo groupdel groupname;将用户加入附加组:sudo usermod -aG groupname username;从组移除:sudo gpasswd -d username groupname。
- 密码与账户状态
- 设置/更改密码:sudo passwd username;锁定账户:sudo passwd -l username;解锁账户:sudo passwd -u username。
- 登录审计
- 查看登录历史:last username。
二 权限提升与 sudo 配置
- 授予 sudo
- 将用户加入 sudo 组:sudo usermod -aG sudo username;或在 /etc/sudoers 中配置:username ALL=(ALL:ALL) ALL(建议使用 sudo visudo 编辑以避免语法错误)。
- 精细化授权
- 在 sudoers 中限制命令与主机:username hostname = (allowed_user:allowed_group) allowed_commands。
- 安全实践
- 创建普通用户进行日常管理,避免直接使用 root;如需远程管理,优先使用 SSH 密钥并禁用 root 远程登录(见下一节)。
三 文件与目录权限控制
- 基本权限
- 查看:ls -l;修改:chmod 755 filename 或 chmod u+x filename;更改属主/属组:sudo chown username file、sudo chgrp groupname file。
- 访问控制列表 ACL
- 启用与设置:sudo apt-get install acl;设置:setfacl -m u:username:rwx file、setfacl -m g:groupname:rwx dir;查看:getfacl file。
四 身份与访问控制 Context SELinux 与 AppArmor
- SELinux(若系统启用)
- 查看上下文:ls -Z;临时更改:sudo chcon -t httpd_sys_content_t /var/www/html/index.html;恢复默认:sudo restorecon -Rv /var/www/html;永久策略:sudo semanage fcontext -a -t httpd_sys_content_t “/var/www/html(/.*)?” 后执行 restorecon;策略模块:sudo semodule -i mymodule.pp。
- AppArmor(Debian 常见)
- 配置路径:/etc/apparmor.d/;加载/卸载:sudo apparmor_parser -r /etc/apparmor.d/usr.sbin.httpd、sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.httpd;模式切换:sudo aa-enforce /etc/apparmor.d/usr.sbin.httpd、sudo aa-complain /etc/apparmor.d/usr.sbin.httpd;状态查看:sudo aa-status。
- 启用 SELinux(可选)
- 安装工具:sudo apt-get install selinux-basics selinux-policy-default;启用:sudo setenforce 1;持久化:/etc/selinux/config 中设置 SELINUX=enforcing。
五 安全加固要点
- 账户与登录
- 创建普通用户并加入 sudo;禁用 root 远程登录(编辑 /etc/ssh/sshd_config:PermitRootLogin no);禁用空密码:PermitEmptyPasswords no;使用 SSH 密钥认证。
- 系统与网络
- 保持更新:sudo apt update & & sudo apt upgrade -y;自动安全更新:sudo apt install unattended-upgrades -y & & sudo dpkg-reconfigure unattended-upgrades;防火墙:sudo ufw allow OpenSSH & & sudo ufw enable 或 iptables 精细化规则;仅开放必要端口(如 22/80/443)。
- 监控与响应
- 使用 Fail2ban 防御暴力破解;日志审计与分析(如 Logwatch)。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Debian Context中如何进行用户管理
本文地址: https://pptw.com/jishu/766517.html