Linux minimal用戶權限設置需遵循“最小權限原則”���,僅授予用戶完成任務所需的最低權限���,核心操作如下:
一��、用戶與組管理
- 創建普通用戶
sudo adduser username
- 限制用戶組權限
- 僅保留必要系統組(如
users)�,避免加入sudo等高權限組(除非需臨時提權)�����。
- 若需提權����,可通過
visudo編輯/etc/sudoers����,嚴格限定命令范圍(如username ALL=(ALL) /usr/bin/apt)���。
二����、文件與目錄權限控制
- 基礎權限設置
- 特殊權限應用
- 禁止刪除關鍵目錄:對
/etc����、/bin等目錄設置+i(不可修改)屬性�。
- 限制目錄刪除:對共享目錄設置
+t(粘滯位)���,防止非所有者刪除文件���。
三�、高級權限控制
- ACL精細化控制
- SSH訪問限制
- 禁止用戶通過SSH登錄:修改
/etc/ssh/sshd_config�,添加DenyUsers username���。
- 限制用戶只能執行特定命令:在
~/.ssh/authorized_keys前添加command="/path/to/allowed_command"��。
四��、安全審計與維護
- 定期檢查權限:使用
find / -type f -perm /o+w查找非授權可寫文件�。
- 禁用不必要的服務:通過
systemctl disable關閉非必需服務�����,減少潛在攻擊面�����。
關鍵原則:始終以“用戶僅需完成其職責的最小權限”為目標����,避免過度授權�����,定期審計權限配置����。
