CentOS Stream 8权限设置最佳实践

在CentOS Stream 8中设置权限主要涉及文件和目录的权限管理、用户和用户组的管理，以及使用sudo命令进行权限管理。以下是一些最佳实践：

用户和用户组管理

• 创建用户和用户组：使用 useradd命令创建新用户，使用 groupadd命令创建新的用户组。例如：

  sudo useradd -m myuser
  sudo groupadd mygroup
  

• 修改用户和用户组信息：使用 usermod命令修改用户信息，包括添加或删除用户所属的组。例如：

  sudo usermod -aG mygroup myuser
  

• 将用户添加到sudoers文件：使用 visudo命令编辑 /etc/sudoers文件，添加用户到sudo组，以便他们可以使用sudo命令执行需要管理员权限的操作。例如：

  sudo visudo
  # 在/etc/sudoers文件中添加以下行（根据需要调整）：
  myuser ALL=(ALL) NOPASSWD: /usr/bin/command1, /usr/bin/command2
  

文件和目录权限管理

• 查看权限：使用 ls -l命令查看文件和目录的权限。例如：

  ls -l /path/to/file_or_directory
  

• 更改文件所有者：使用 chown命令更改文件的所有者。例如：

  sudo chown new_owner /path/to/file
  

• 更改文件属组：使用 chgrp命令更改文件的属组。例如：

  sudo chgrp new_group /path/to/file
  

• 更改文件权限：使用 chmod命令更改文件或目录的权限。可以使用数字或符号格式指定。例如，为某个目录设置755权限（所有者可读写执行，组可读执行，其他用户可读执行）：

  sudo chmod 755 /path/to/directory
  

• 设置特殊权限：例如，设置SUID/SGID和粘滞位。

  chmod u+s /path/to/executable_file # 设置SUID
  chmod g+s /path/to/directory # 设置SGID
  chmod +t /path/to/directory # 设置粘滞位
  

• ACL（访问控制列表）：如果需要更细粒度的权限控制，可以使用ACL。首先，确保已安装acl软件包：

  sudo yum install acl
  

  然后，使用 setfacl和 getfacl命令管理ACL。例如，要允许特定用户访问特定文件：

  sudo setfacl -m u:myuser:rwx /path/to/file
  

SELinux配置

• 如果启用了SELinux，需要为其设置适当的策略。可以使用 semanage和 restorecon命令管理SELinux策略。例如，要创建一个新的SELinux策略以允许特定用户访问特定文件：

  sudo semanage fcontext -a -t httpd_sys_rw_content_t "/path/to/file(/.*)?"
  sudo restorecon -Rv /path/to/file
  

防火墙配置

• 安装并配置防火墙以限制访问。例如，使用 firewalld：

  sudo yum install firewalld
  sudo systemctl start firewalld
  sudo systemctl enable firewalld
  sudo firewall-cmd --permanent --add-service=ssh
  sudo firewall-cmd --reload
  

用户口令策略

• 设置复杂的口令策略，确保用户口令包含大写字母、小写字母、数字和特殊字符，并且长度大于10位。编辑 /etc/login.defs文件来设置密码策略：

  PASS_MIN_LEN 10
  

保护口令文件

• 使用 chattr命令给口令文件加上不可更改属性，以防止非授权访问。例如：

  chattr +i /etc/passwd
  chattr +i /etc/shadow
  chattr +i /etc/group
  chattr +i /etc/gshadow
  

定期更新系统和软件包

• 定期检查并安装系统和软件包的最新更新，以修补安全漏洞：

  sudo yum update
  

以上步骤可以帮助您在CentOS Stream 8中有效地管理用户权限，从而提高系统的安全性和稳定性。请根据您的具体需求调整命令和配置。