Debian Minimal权限管理指南
Debian Minimal作为极简系统,权限管理需通过命令行工具实现,核心围绕用户-组-文件权限模型,结合sudo机制实现安全管控。以下是具体操作框架:
Debian Minimal的权限体系基于“用户(Owner)、组(Group)、其他(Others)”三级结构,每个文件/目录拥有**读(r)、写(w)、执行(x)**三种权限。通过ls -l命令可查看权限详情(如-rwxr-xr--表示:所有者有读写执行权限,组有读执行权限,其他用户仅有读权限)。
adduser命令(交互式输入密码及信息),比useradd更适合新手。例如创建用户devuser:sudo adduser devuserdeluser命令(--remove-home可同时删除主目录):sudo deluser --remove-home devuserpasswd devuser,修改主目录用usermod -d /new/home devuser。sudo groupadd devgroup(创建名为devgroup的组)。sudo usermod -aG devgroup devuser(-aG表示追加到附加组,避免覆盖原有组)。sudo groupdel devgroup。使用ls -l命令查看详细权限,例如:
ls -l /var/www/html/index.html
输出示例:-rw-r--r-- 1 root www-data 1024 Jan 1 10:00 index.html
(所有者root有读写权限,组www-data有读权限,其他用户有读权限)。
chmod u+x script.sh(给所有者添加执行权限);chmod g-w data.txt(移除组写权限);chmod o=r config.ini(设置其他用户仅有读权限)。r=4、w=2、x=1(无权限=0)。例如:chmod 755 script.sh(所有者7=4+2+1,读写执行;组和其他5=4+1,读执行);chmod 644 data.txt(所有者6=4+2,读写;其他4,仅读)。sudo chown devuser /path/to/file(将文件所有者改为devuser)。sudo chgrp devgroup /path/to/file(将文件组改为devgroup)。sudo chown devuser:devgroup /path/to/file。passwd命令)。sudo chmod u+s /usr/bin/passwd(文件权限显示为-rwsr-xr-x)。/var/www目录)。sudo chmod g+s /var/www(目录权限显示为drwxr-sr-x)。/tmp目录)。sudo chmod +t /tmp(目录权限显示为drwxrwxrwt)。Debian Minimal默认可能未安装sudo,需用root用户安装:
apt update && apt install sudo。
将用户加入sudo组(默认配置下,组成员拥有sudo权限):
sudo usermod -aG sudo devuser
验证:切换至devuser,运行sudo whoami(输入密码后返回root即成功)。
visudo命令(自动检查语法,避免配置错误)。devuser无需密码重启服务):devuser ALL=(ALL) NOPASSWD: /usr/sbin/reboot/etc/sudoers,防止语法错误导致系统无法使用sudo。devuser读写/data目录)。sudo apt install acl;setfacl -m u:devuser:rwx /data(给devuser读写执行权限);getfacl /data。umask 022,即文件644、目录755)。/etc/profile或用户级~/.bashrc,添加umask 027(文件640、目录750,更严格)。root权限)。find / -perm /4000查找所有SUID文件,find / -perm /2000查找SGID文件,find / -perm /1000查找粘滞位目录,及时清理不必要的特殊权限。