centos filesystem权限设置指南

在CentOS系统中，文件系统的权限设置是确保系统安全性和稳定性的重要组成部分。以下是一个详细的CentOS文件系统权限设置指南，涵盖了权限的基本概念、常用命令、以及安全配置策略。

文件权限的基本概念

• 权限符号：

  • d：代表目录
  • l：代表链接
  • -：代表普通文件
  • r：可读（4）
  • w：可写（2）
  • x：可执行（1）
  • s：设置粘滞位（sticky bit），限制目录内文件删除权限
  • t：表示目录内文件删除权限受限（sticky bit）
  • u：属主（user）
  • g：属组（group）
  • o：其他用户
  • a：所有用户（默认值）

• 权限数字表示法：

  • rwx：读、写、执行（7）
  • rw-：读、写（6）
  • r--：只读（4）
  • ---：无权限（0）

常用命令

• 查看权限：

  ls -l filename
  

• 修改文件权限：

  chmod [ugoa][+-=][rwx] filename
  

  例如，给文件添加执行权限：

  chmod u+x filename
  

  或者使用数字模式：

  chmod 755 filename
  

• 修改文件所有者：

  chown new_owner:new_group filename
  

  例如，将文件所有者改为root：

  chown root:root filename
  

安全配置策略

• 禁用不必要的超级用户：

  • 检测具有超级用户权限的账户：

    cat /etc/passwd | awk -F ':' '{print$1,$3}' | grep ' 0$'
    

  • 锁定或解锁账户：

    passwd -l <用户名>  # 锁定账户
    passwd -u <用户名>  # 解锁账户
    

• 删除不必要的账号：

  • 删除用户：

    userdel username
    

  • 删除组：

    groupdel groupname
    

• 强化用户口令：

  • 设置复杂的口令，长度大于10位，包含大写字母、小写字母、数字和特殊字符。
  • 修改/etc/login.defs文件以强制执行这些要求。

• 保护口令文件：

  • 使用chattr命令给关键文件加上不可更改属性：

    chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow
    

• 设置root账户自动注销时限：

  • 修改/etc/profile文件中的TMOUT参数：

    vi /etc/profile
    TMOUT=300
    

• 限制su命令：

  • 编辑/etc/pam.d/su文件，限制只有特定组的用户才能使用su命令切换为root。

• 限制普通用户执行敏感操作：

  • 删除或修改/etc/security/console.apps下的相应程序的访问控制文件。

通过以上步骤和策略，可以有效地管理和设置CentOS文件系统的权限，确保系统的安全性和稳定性。