Linux Minimal系統文件權限管理指南
Linux Minimal系統(如CentOS Minimal�、Ubuntu Minimal)的權限管理以“最小權限原則”為核心�����,通過基礎命令與高級工具實現細粒度的訪問控制��,保障系統安全�。
一����、基礎權限模型
Linux文件權限分為三類:所有者(Owner)(文件創建者)����、所屬組(Group)(文件所屬用戶組)�����、其他用戶(Others)(未歸屬前兩類的用戶)�����。每類權限包含三種操作:讀(r�����,4)�����、寫(w���,2)����、執行(x��,1)�����,權限值通過三者之和表示(如rwx=7�,rw-=6)����。
- 示例:
chmod 640 file.txt 表示所有者有讀寫權限(6)�����,所屬組有讀權限(4)��,其他用戶無權限(0)�����;chmod u+x script.sh 表示給所有者添加執行權限�����。
二���、核心命令工具
1. 修改權限(chmod)
- 數字模式:快速設置權限(如
755用于目錄��,644用于普通文件)��。
- 符號模式:靈活調整特定用戶/組的權限(如
chmod g-w file.txt 移除組的寫權限�����,chmod o+r file.txt 給其他用戶添加讀權限)���。
2. 修改所有者/組(chown/chgrp)
chown:同時修改所有者和組(如chown user:group file.txt)�;chgrp:僅修改所屬組(如chgrp developers file.txt)����。
3. 特殊權限設置
- Setuid(u+s):程序運行時繼承所有者權限(如
chmod u+s /usr/bin/passwd�,允許普通用戶修改密碼)���;
- Setgid(g+s):目錄下新建文件繼承目錄所屬組(如
chmod g+s /var/www�����,方便團隊協作)���;
- Sticky Bit(+t):限制目錄內文件的刪除權限(如
chmod +t /tmp�,僅文件所有者可刪除自己的文件)���。
三�、高級權限控制(ACL)
基礎權限無法滿足復雜場景時�����,可使用**訪問控制列表(ACL)**為特定用戶或組設置額外權限����。
- 安裝工具:Minimal系統需先安裝
acl包(如CentOS用yum install acl����,Ubuntu用apt install acl)�����;
- 設置ACL:
setfacl -m u:user1:rw file.txt 給user1添加讀寫權限����,setfacl -m g:devs:rwx /project 給devs組添加讀寫執行權限����;
- 查看ACL:
getfacl file.txt 顯示文件的詳細權限信息��;
- 默認ACL:
setfacl -d -m u:user1:rwx /project 設置目錄的默認ACL��,新建文件自動繼承�����。
四���、默認權限管理(umask)
umask定義新創建文件的默認權限(通過屏蔽基礎權限實現)��。
- 常用設置:
umask 022 表示新文件權限為644(666-022=644)�,新目錄權限為755(777-022=755)�����;
- 查看umask:直接輸入
umask命令�;
- 永久生效:將
umask 022添加到~/.bashrc(用戶級)或/etc/profile(系統級)��。
五���、安全最佳實踐
- 最小權限原則:避免給“其他用戶”(o)寫權限(如
chmod o-w file.txt)�,敏感文件(如/etc/shadow)設置600權限�;
- 避免777權限:除非必要����,不使用
chmod 777(完全開放權限)�����,否則可能導致系統被入侵�;
- 定期審計權限:用
ls -l查看文件權限�,用find / -type f -perm 777 -exec ls -ld {} \;查找系統中權限過高的文件�;
- 使用sudo替代root:配置
/etc/sudoers文件(用visudo命令)����,允許特定用戶使用sudo執行管理命令(如username ALL=(ALL) NOPASSWD: /usr/bin/apt)�����;
- 啟用SELinux/AppArmor:SELinux(
setenforce 1)或AppArmor(systemctl enable apparmor)提供強制訪問控制����,限制進程的權限范圍����。
