首页主机资讯centos stream8权限管理技巧

centos stream8权限管理技巧

时间2025-12-15 23:27:03发布访客分类主机资讯浏览525
导读:CentOS Stream 8 权限管理实用技巧 一 基础权限与所有权 查看权限与属性:使用 ls -l、stat 快速确认权限、属主、属组与上下文。 修改权限: 数字法:chmod 755 /path(所有者 rwx,组 rx,其他...

CentOS Stream 8 权限管理实用技巧

一 基础权限与所有权

  • 查看权限与属性:使用 ls -lstat 快速确认权限、属主、属组与上下文。
  • 修改权限:
    • 数字法:chmod 755 /path(所有者 rwx,组 rx,其他 rx)、chmod 644 /path(所有者 rw,组 r,其他 r)。
    • 符号法:chmod u+x filechmod g-w filechmod o=r file
  • 修改属主与属组:chown user:group /pathchgrp group /path
  • 目录常用做法:目录给 755,文件给 644;需要共享协作的目录给组 775 并确保用户在该组。
  • 谨慎操作:避免对敏感系统目录随意放宽权限,变更前先备份关键数据与权限基线。

二 用户与 sudo 精细化

  • 用户与组:
    • 创建用户与家目录:sudo useradd -m username;创建组:sudo groupadd groupname
    • 加入附加组:sudo usermod -aG groupname username(追加,避免覆盖原有组)。
  • 口令策略:要求口令包含大小写字母、数字、特殊字符且长度≥10位;排查空口令账户并处理。
  • sudo 授权:
    • 推荐用 visudo 编辑 /etc/sudoers,将用户加入 wheel 组或按需授予最小权限。
    • 精细授权示例:username ALL=(ALL) NOPASSWD: /usr/bin/command1, /usr/bin/command2(仅允许无密码执行指定命令)。
  • 账户清理:识别并锁定/删除不必要的或共享的高权限账户,减少攻击面。

三 特殊权限与 ACL 细粒度控制

  • 特殊权限:
    • SUID(Set User ID):执行时以文件所有者权限运行,设置:chmod u+s /path/to/executable
    • SGID(Set Group ID):执行时以文件所属组权限运行;用于目录时,新创建文件继承目录的组,设置:chmod g+s /path/to/dir
    • Sticky Bit(粘滞位):用于共享目录,只有文件所有者或 root 可删除/重命名其中的文件,设置:chmod +t /path/to/dir
  • ACL(访问控制列表):
    • 查看:getfacl /path
    • 设置:为用户/组赋权,如 setfacl -m u:alice:rwx /pathsetfacl -m g:devs:r /path
    • 删除:setfacl -x u:alice /path
  • 使用建议:优先用组 + 755/775满足协作,再用 ACL 处理例外;为可执行文件设置 SUID/SGID 需充分评估安全影响。

四 SELinux 与审计

  • SELinux:
    • 查看与保持状态:getenforce(返回 Enforcing/Permissive/Disabled)。
    • 目录/文件上下文:使用 semanage fcontext -a -t httpd_sys_rw_content_t “/data/www(/.*)?” 定义规则,随后 restorecon -Rv /data/www 应用。
    • 原则:尽量通过“正确的上下文”而非关闭 SELinux 来解决问题。
  • 审计与合规:
    • 安装并启用审计服务:sudo dnf install -y auditsudo systemctl enable --now auditd
    • 按需添加审计规则(示例):监控对敏感文件的访问与权限变更,便于事后取证与合规审计。

五 常见场景与命令清单

  • 共享目录协作:
    1. 建组:sudo groupadd devs;2) 用户入组:sudo usermod -aG devs alice
    2. 目录赋权:sudo chown :devs /data/app & & sudo chmod 775 /data/app
    3. 若需对个别用户额外授权:setfacl -m u:bob:rwx /data/app
  • Web 目录上传:
    1. 设置上下文:sudo semanage fcontext -a -t httpd_sys_rw_content_t “/var/www/html/uploads(/.*)?”
    2. 应用:sudo restorecon -Rv /var/www/html/uploads
  • 临时提权执行单条命令:在 /etc/sudoers(经 visudo)添加:alice ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart httpd
  • 安全提示:变更前备份配置与权限基线;变更后用 ls -lgetfacl 复核;避免在生产环境随意关闭 SELinux 或放宽关键目录至 777

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!


若转载请注明出处: centos stream8权限管理技巧
本文地址: https://pptw.com/jishu/772200.html
centos中phpstorm如何设置代码风格 centos文件权限出错怎么办

游客 回复需填写必要信息