CentOS DOPRA权限管理技巧
useradd命令创建专用用户(如doprauser),并为该用户设置强密码(passwd doprauser);若需删除用户及主目录,可使用userdel -r doprauser。通过groups命令可查看用户所属组,确保用户仅属于必要的组。dopragroup),使用usermod -aG dopragroup doprauser将用户添加到组中(-aG表示追加组,避免移除原有组)。组管理可简化权限分配,避免逐个修改用户权限。chown命令修改DOPRA目录(如/opt/dopra)的所有者和组为专用用户/组:chown -R doprauser:dopragroup /opt/dopra;通过chmod设置目录权限为750(所有者可读/写/执行,组用户可读/执行,其他用户无权限):chmod -R 750 /opt/dopra。此配置确保仅授权用户能访问DOPRA文件。devuser用户对/opt/dopra的读/写/执行权限:setfacl -m u:devuser:rwx /opt/dopra;设置默认ACL,使新创建的文件继承权限:setfacl -d -m u:devuser:rwx /opt/dopra。通过getfacl /opt/dopra可查看当前ACL规则。若系统启用SELinux(sestatus显示Enforcing状态),需为DOPRA配置正确的安全上下文。例如,设置/opt/dopra目录的上下文为dopra_exec_t:chcon -R -t dopra_exec_t /opt/dopra。若需永久生效,可通过semanage fcontext命令添加规则,并用restorecon恢复上下文。临时禁用SELinux(不推荐)可使用setenforce 0,但长期使用应通过修改/etc/selinux/config文件(设置SELINUX=disabled)实现。
通过visudo命令编辑/etc/sudoers文件(避免语法错误),为DOPRA管理员添加特定sudo权限。例如,允许dopraadmin用户无需密码执行DOPRA相关命令(如/opt/dopra/bin/start):dopraadmin ALL=(ALL) NOPASSWD: /opt/dopra/bin/start。严格限制sudo权限范围,遵循“最小权限原则”,降低误操作或滥用风险。
使用auditd服务监控DOPRA关键操作(如文件访问、命令执行)。例如,添加审计规则追踪/opt/dopra目录的访问:auditctl -w /opt/dopra -p rwxa -k dopra_access。通过ausearch -m avc -ts recent命令查看最近的SELinux审计日志,或使用aureport生成权限使用报告,及时发现异常行为。