CentOS Context中的用户管理技巧

在CentOS中，用户管理技巧主要涉及账户操作、权限配置及安全策略，以下是核心要点：

一、用户账户管理

• 创建/删除用户：
  sudo useradd username（创建）；sudo userdel -r username（删除，-r同时删除主目录）。
• 修改用户信息：
  sudo usermod -l newname oldname（改用户名）；sudo usermod -d /new/home -m username（改家目录）。
• 设置密码：
  sudo passwd username，可强制密码过期或设置复杂度策略（需编辑/etc/pam.d/system-auth）。

二、用户组与权限管理

• 组操作：
  sudo groupadd groupname（创建组）；sudo usermod -aG groupname username（添加用户到组）。
• 文件/目录权限：
  chmod（设置权限，如755）；chown（修改所有者，如chown user:group file）；chgrp（修改所属组）。
• 高级权限控制：
  • ACL（访问控制列表）：sudo setfacl -m u:username:rwx file（为特定用户设置权限）。
  • 特殊权限：chmod u+s（SUID）、chmod g+s（SGID）、chmod +t（Sticky Bit）。

三、安全策略与审计

• sudo权限管理：
  sudo visudo编辑/etc/sudoers，按需分配命令权限（如username ALL=(ALL) /usr/bin/command）。
• SELinux强制访问控制：
  • 查看状态：sestatus；临时启用：sudo setenforce 1；永久配置需修改/etc/selinux/config。
  • 自定义策略：用audit2allow生成规则模块，配合semanage和restorecon应用。
• 审计与监控：
  启用auditd服务记录用户操作：sudo yum install audit && sudo systemctl start auditd；查看日志：sudo ausearch -m avc。

四、最佳实践

• 最小权限原则：仅授予用户完成任务所需的最低权限，避免滥用root。
• 定期审查：周期性检查用户账户、权限及日志，清理冗余账户。
• 远程管理安全：通过SSH密钥认证替代密码登录，限制PermitRootLogin为no。

以上操作需谨慎执行，错误配置可能导致系统权限混乱或服务异常，建议提前备份重要数据。