Linux minimal用户权限怎么设置

Linux minimal用户权限设置需遵循“最小权限原则”，仅授予用户完成任务所需的最低权限，核心操作如下：

一、用户与组管理

1. 创建普通用户

   sudo adduser username  # 创建用户，密码需按提示设置
   

2. 限制用户组权限
   • 仅保留必要系统组（如users），避免加入sudo等高权限组（除非需临时提权）。
   • 若需提权，可通过visudo编辑/etc/sudoers，严格限定命令范围（如username ALL=(ALL) /usr/bin/apt）。

二、文件与目录权限控制

1. 基础权限设置
   • 使用chmod限制文件权限：
     • 敏感文件（如配置文件）：chmod 444 file.conf（仅读权限）。
     • 用户可执行脚本：chmod 700 script.sh（仅所有者可读、写、执行）。
   • 使用chown指定文件所属用户及组：

     sudo chown username:group /path/to/file  # 仅允许所属用户和组访问
     

2. 特殊权限应用
   • 禁止删除关键目录：对/etc、/bin等目录设置+i（不可修改）属性。
   • 限制目录删除：对共享目录设置+t（粘滞位），防止非所有者删除文件。

三、高级权限控制

1. ACL精细化控制
   • 为特定用户分配细粒度权限（如仅允许读取某目录）：

     sudo setfacl -m u:username:r /path/to/directory  # 仅读权限
     sudo setfacl -m u:username:rx /path/to/directory  # 读+执行权限
     

2. SSH访问限制
   • 禁止用户通过SSH登录：修改/etc/ssh/sshd_config，添加DenyUsers username。
   • 限制用户只能执行特定命令：在~/.ssh/authorized_keys前添加command="/path/to/allowed_command"。

四、安全审计与维护

• 定期检查权限：使用find / -type f -perm /o+w查找非授权可写文件。
• 禁用不必要的服务：通过systemctl disable关闭非必需服务，减少潜在攻击面。

关键原则：始终以“用户仅需完成其职责的最小权限”为目标，避免过度授权，定期审计权限配置。