网站首页 > 技术教程 正文
在 Linux 系统管理中,用户权限分配与安全控制是信息安全的核心环节。直接使用 root 账户进行日常操作存在极高风险,一旦密码泄露或误操作,可能导致系统失控、数据泄露或恶意攻击。此外,普通用户权限过度开放或受限不足,也会引发权限滥用或业务受阻。本案例针对企业或服务器环境中常见的多用户协作场景,通过精细化用户权限管理,平衡安全性与操作便利性,防止未授权访问和权限滥用,确保系统稳定运行。
本案例基于 Linux 系统(如 CentOS),演示如何通过用户创建、权限分配及登录安全设置构建多层次权限管理体系。核心步骤包括:
- 用户创建与基础配置:使用useradd创建普通用户user1,通过passwd设置强密码,并验证账户登录功能,避免直接使用 root 账户。
- sudo 权限精细化管理:编辑/etc/sudoers文件,允许user1执行特定管理命令(如创建用户useradd、修改普通用户密码passwd),但禁止修改 root 密码(通过!/usr/bin/passwd root规则),实现 “最小权限原则”。测试显示,user1可成功创建user2并设置密码,但尝试修改 root 密码时被拒绝。
- 登录安全强化:禁止 root 远程登录(修改sshd_config中PermitRootLogin no),设置用户会话超时时间(TMOUT=180秒无操作自动注销),并通过附加组(如 wheel 组)灵活扩展用户权限。
案例实现了普通用户与管理员账户的权限隔离,降低了 root 账户暴露风险,同时确保普通用户在授权范围内高效操作,为企业级 Linux 系统权限管理提供了可复用的安全模板。
3.1.1 创建用户并测试登录
(1)创建新用户:执行useradd user1创建一个普通用户,为后续权限分配做准备,避免直接使用高权限的root用户进行日常操作,降低安全风险。
(2)设置用户密码:执行passwd user1设置登录密码,强密码能有效防止暴力破解,提升账户安全性。
(3)确认账户可正常登录:使用新创建的user1账户尝试登录系统。
3.1.2 修改用户权限
(1)为新用户添加 sudo 权限:编辑/etc/sudoers文件,添加nuser1 ALL=(ALL) ALL。允许user1在无需密码的情况下执行sudo命令,方便进行管理操作,同时保持了一定的权限控制。
(2)在 /etc/sudoers 文件中授予普通用户执行所有命令的权限后,该用户并不能直接使用 su - 或 su - root 命令切换到 root 用户,而必须要使用 sudo su - 或 sudo su - root 命令。
(3)授予普通用户创建用户,并修改用户密码的权限,但是禁止该用户修改 root 用户密码,在 /etc/sudoers 文件中将nuser1 ALL=(ALL) ALL修改为user1 ALL=(ALL) /usr/sbin/useradd, /usr/bin/passwd, !/usr/bin/passwd "", !/usr/bin/passwd root。
命令选项与参数说明:
/usr/bin/useradd:允许 user1 用户执行 useradd USER 命令创建普通用户。
/usr/bin/passwd:允许 user1 用户执行 passwd USER 命令修改用户密码。
!/usr/bin/passwd root:禁止 user1 用户执行 passwd root 命令修改 root 用户密码。
!/usr/bin/passwd "":禁止 user1 用户执行 passwd 命令修改 root 用户密码,因为 passwd 命令后边为空则默认为 root 用户。
(4)测试创建普通用户和设置用户密码效果
(5)测试修改root用户密码和修改当前用户密码效果
3.1.3 用户登录安全设置
(1)禁止 root 远程登录:打开/etc/ssh/sshd_config文件,找到PermitRootLogin项,将其值设置为no,完成后重启ssh服务生效配置,减少因root账户被入侵导致系统完全失控的风险。
在宿主机上打开命令提示符窗口,使用root用户远程链接测试是否能登录。
(2)设置用户登录超时时间:编辑/etc/profile文件,添加TMOUT=180,表示用户在 3 分钟(180 秒)无操作后自动注销登录。这可避免因用户离开但会话仍保持活跃而带来的安全隐患。
(3)为用户添加附加组:运行usermod -a -G wheel newuser,将newuser添加到wheel组,wheel组通常具有较高权限,添加到该组可根据需要赋予用户更多管理权限,与在/etc/sudoers文件,添加nuser1 ALL=(ALL) ALL配置类似,可选择使用其中一种方法即可。
猜你喜欢
- 2025-07-03 Linux入门-普通用户赋予sudo权限(linux基础用户及权限管理的思维导图)
- 2025-07-03 Linux系统更改系统用户与密码,RK3568工控主板演示
- 2025-07-03 在Windows服务器上安装Linux系统5种主要方法!
- 2025-07-03 Linux系统非root用户执行Docker命令
- 2025-07-03 2、linux命令-用户管理(linux用户和用户组管理)
- 2025-07-03 Linux下安装常用软件都有哪些?做了一个汇总列表,你看还缺啥?
- 2025-07-03 Linux中wheel组的使用(centos wheel组和sudo)
- 2025-07-03 Linux 组的管理:groupmod命令 + 练习 + 思维导图
- 2025-07-03 Linux中的用户管理(linux用户管理的命令)
- 2025-07-03 第二节:10分钟搞定Linux安装(linux 安装教程)
欢迎 你 发表评论:
- 最近发表
-
- Linux入门-普通用户赋予sudo权限(linux基础用户及权限管理的思维导图)
- Linux系统更改系统用户与密码,RK3568工控主板演示
- 在Windows服务器上安装Linux系统5种主要方法!
- Linux系统非root用户执行Docker命令
- 2、linux命令-用户管理(linux用户和用户组管理)
- Linux下安装常用软件都有哪些?做了一个汇总列表,你看还缺啥?
- Linux中wheel组的使用(centos wheel组和sudo)
- 信息安全实战案例:Linux系统用户权限管理
- Linux 组的管理:groupmod命令 + 练习 + 思维导图
- Linux中的用户管理(linux用户管理的命令)
- 标签列表
-
- 下划线是什么 (87)
- 精美网站 (58)
- qq登录界面 (90)
- nginx 命令 (82)
- nginx .http (73)
- nginx lua (70)
- nginx 重定向 (68)
- Nginx超时 (65)
- nginx 监控 (57)
- odbc (59)
- rar密码破解工具 (62)
- annotation (71)
- 红黑树 (57)
- 智力题 (62)
- php空间申请 (61)
- 按键精灵 注册码 (69)
- 软件测试报告 (59)
- ntcreatefile (64)
- 闪动文字 (56)
- guid (66)
- abap (63)
- mpeg 2 (65)
- column (63)
- dreamweaver教程 (57)
- excel行列转换 (56)
本文暂时没有评论,来添加一个吧(●'◡'●)