Linux用户权限管理规程.docxVIP

Linux用户权限管理规程

一、概述

Linux系统采用基于用户和组的权限管理模式，确保系统资源的安全访问与合理分配。本规程旨在规范用户权限的创建、配置、维护和回收流程，防止未授权访问和资源滥用，提升系统整体安全性。

二、权限管理基本原则

（一）最小权限原则

1.用户仅被授予完成其任务所必需的最低权限。

2.避免使用root账户进行日常操作，通过sudo授权临时提升权限。

3.定期审查用户权限，撤销不再需要的访问权限。

（二）权限继承与分离

1.职能相近的用户划分到不同组，降低单点故障风险。

2.系统服务账户使用独立用户身份运行，避免权限扩散。

3.重要目录默认权限设置为750（所有者可读写执行，所属组可读写，其他用户只读）。

三、用户权限创建与配置

（一）用户账户管理

1.创建用户：

-命令：`useradd-m-ggroupnameusername`（创建用户并自动创建家目录）

-示例：`useradd-m-Gsudo-s/bin/bashadmin`（创建管理员用户，加入sudo组，使用bashShell）

2.修改密码：

-命令：`passwdusername`

-强制密码策略：`pwpolicy-sminlen=12-sreject_username`（设置最小12位密码，禁止用户名作为密码）

3.删除用户：

-命令：`userdel-rusername`（删除用户及家目录）

（二）用户组管理

1.创建组：`groupaddgroupname`

2.添加用户到组：`usermod-aGgroupnameusername`

3.移除用户组：`groupdelgroupname`（确保组内无用户时操作）

（三）权限配置

1.文件系统权限：

-基本权限设置：`chmod755/path`（所有者可全权，组及其他用户可读执行）

-递归设置：`chmod-R700/path`（递归应用权限）

-粘滞位设置：`chmod+t/tmp`（仅允许属主删除临时文件）

2.ACL（访问控制列表）配置：

-启用ACL：`setfacl-mu:username:rwx/path`（授予权限）

-查看ACL：`getfacl/path`

四、权限维护与审计

（一）定期权限审查

1.检查未授权文件：`find/-perm/40002/dev/null`（查找setuid位文件）

2.核对用户家目录权限：`find/home-typed-perm-002-ls`（检查写权限泄露）

3.权限变更记录：配置`auditd`（审计守护进程）监控关键目录操作。

（二）权限回收流程

1.步骤：

(1)确认用户职责变更。

(2)执行权限降级：`usermod-Gwheelusername`（移除sudo权限）。

(3)临时文件清理：`chownroot:root/tmp`（高危目录强制回收）。

(4)验证权限效果：`sudo-lusername`（测试命令执行权限）。

（三）应急权限处理

1.紧急提权：`sudo-Scommand`（通过密码验证执行命令）。

2.权限隔离：创建`/var/lock/subsys`目录用于服务锁定机制。

3.错误日志监控：`greppermissiondenied/var/log/auth.log`（定期检查权限拒绝事件）。

五、附录

（一）常用权限命令速查表

|命令|说明|示例|

|--------------------|--------------------------|--------------------|

|`chmod777file`|全开放文件权限|`chmod777config`|

|`chownuser:groupfile`|修改文件属主和组|`chownadmin:staffreport.csv`|

|`visudo`|编辑sudoers配置|`sudovisudo`|

（二）权限配置示例

1.限制用户只能访问特定目录：

```bash

setfacl-mu:username:r-x/shared

setfacl-md:g:others:-/shared

```

2.设置服务账户权限：

```bash

useradd-r-gdaemon-s/sbin/nologinse