Linux LAMP环境下如何管理用户权限

在Linux LAMP（Linux, Apache, MySQL, PHP）环境下管理用户权限是非常重要的，因为这关系到系统的安全性和稳定性。以下是一些关键步骤和最佳实践：

1. 用户账户管理

• 创建新用户：

  sudo adduser username
  

• 删除用户：

  sudo deluser username
  

• 修改用户密码：

  sudo passwd username
  

2. 文件和目录权限

• 查看权限：

  ls -l /path/to/directory
  

• 修改权限：

  chmod 755 /path/to/directory
  

• 修改所有者：

  chown username:groupname /path/to/directory
  

3. Apache用户权限

• Apache默认用户：通常是www-data。
• 修改Apache配置文件： 编辑/etc/apache2/envvars或/etc/httpd/conf/httpd.conf，设置APACHE_RUN_USER和APACHE_RUN_GROUP。

  export APACHE_RUN_USER=www-data
  export APACHE_RUN_GROUP=www-data
  

• 重启Apache服务：

  sudo systemctl restart apache2
  

4. MySQL/MariaDB用户权限

• 登录MySQL：

  mysql -u root -p
  

• 创建新用户：

  CREATE USER 'username'@'localhost' IDENTIFIED BY 'password';
  

• 授予权限：

  GRANT ALL PRIVILEGES ON database_name.* TO 'username'@'localhost';
  FLUSH PRIVILEGES;
  

• 删除用户：

  DROP USER 'username'@'localhost';
  FLUSH PRIVILEGES;
  

5. SELinux/AppArmor

• SELinux：

  • 检查状态：

    sestatus
    

  • 临时禁用：

    sudo setenforce 0
    

  • 永久禁用（不推荐）： 编辑/etc/selinux/config，将SELINUX=enforcing改为SELINUX=disabled。

• AppArmor：

  • 检查状态：

    sudo aa-status
    

  • 禁用特定配置文件：

    sudo aa-disable /path/to/profile
    

6. 定期审计和监控

• 使用auditd进行审计：

  sudo apt-get install auditd audispd-plugins
  sudo auditctl -a exit,always -F arch=b32 -S open -S openat -S creat -S creatat -k open_files
  

• 监控日志文件：

  tail -f /var/log/apache2/access.log
  tail -f /var/log/mysql/error.log
  

7. 使用sudoers文件管理sudo权限

• 编辑/etc/sudoers文件：

  sudo visudo
  

• 添加或修改规则：

  username ALL=(ALL) ALL
  

通过以上步骤，你可以有效地管理Linux LAMP环境下的用户权限，确保系统的安全性和稳定性。