CentOS虚拟机用户权限设置指南

CentOS虚拟机用户权限设置指南

一、基础用户创建与密码设置

在CentOS虚拟机中，所有用户操作需以root用户（或具备sudo权限的普通用户）身份执行。

1. 创建用户：使用adduser命令创建新用户（如it），该命令会自动创建与用户名同名的用户组：

   adduser it
   

2. 设置密码：通过passwd命令为用户初始化密码，系统会强制要求输入两次以确认：

   passwd it
   

   密码需满足复杂度要求（至少8位，包含字母、数字或特殊字符），若提示“密码太简单”，可重复输入以强制设置。

二、sudo权限配置（关键步骤）

普通用户默认无法执行root权限命令，需通过sudo提权。为避免直接修改/etc/sudoers文件导致系统错误，需使用visudo命令（自带语法检查）：

1. 编辑sudoers文件：

   visudo
   

2. 添加权限：在文件末尾添加以下内容（以用户it为例）：
   • 完全root权限（谨慎使用）：

     it ALL=(ALL) ALL
     

   • 有限权限（如仅允许重启ssh服务）：

     it ALL=(ALL) /usr/bin/systemctl restart sshd
     

3. 保存退出：按Esc键输入:wq保存并退出，visudo会自动检查语法，若有错误需修正后重新保存。

三、用户组管理与批量授权

通过用户组可批量管理用户权限，减少重复配置：

1. 创建用户组：使用groupadd命令创建组（如devgroup）：

   groupadd devgroup
   

2. 将用户加入组：使用usermod命令将用户添加至组（如将it加入devgroup）：

   usermod -aG devgroup it
   

   -aG参数表示追加至组（不覆盖原有组），需重新登录用户使组生效。
3. 组权限配置：在/etc/sudoers中添加组权限（如允许devgroup组所有成员使用sudo）：

   %devgroup ALL=(ALL) ALL
   

   %符号表示组。

四、文件/目录权限设置

用户对文件/目录的操作权限需通过chown（修改所有者）和chmod（修改权限）调整：

1. 修改所有者：将目录/data/project的所有者设为用户it，所属组设为devgroup：

   chown -R it:devgroup /data/project
   

   -R参数表示递归修改（包括子目录及文件）。
2. 修改权限：使用数字模式设置权限（如755表示所有者有读、写、执行权限，组和其他用户有读、执行权限）：

   chmod -R 755 /data/project
   

   权限说明：
   • 第一位：所有者权限（7=rwx）；
   • 第二位：组权限（5=r-x）；
   • 第三位：其他用户权限（5=r-x）。

五、权限验证与注意事项

1. 验证sudo权限：切换至用户it，执行需要root权限的命令（如查看系统日志）：

   su - it
   sudo tail -f /var/log/messages
   

   输入用户密码后，若命令执行成功则表示权限配置正确。
2. 注意事项：
   • 禁止直接登录root：通过passwd -l root锁定root账户，强制使用sudo提权；
   • 定期审计权限：使用cat /etc/passwd查看用户列表，cat /etc/group查看组列表，visudo检查sudoers文件；
   • 备份重要文件：修改/etc/sudoers前备份（如cp /etc/sudoers /etc/sudoers.bak）。